Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (67)
  • добавить в избранное
    Добавить в закладки

Что такое RAC, и почему он интересует хакеров

Прочитали: 1113 Комментариев: 73 Рейтинг: 94

Интересный новостной заголовок: «Новая версия TrickBot похищает информацию о стабильности работы Windows». Зачем злоумышленникам (тем более что TrickBot – это банковский троянец) интересоваться, насколько стабильно работает машина жертвы?

Новая версия банковского трояна TrickBot, которую недавно обнаружили эксперты, имеет весьма специфическое поведение – вредонос собирает данные средства анализа стабильности системы Windows (компонент Reliability Analysis Component или RAC).

TrickBot считывает и похищает информацию о стабильности работы системы, которая находится в директории по следующему адресу – C:\ProgramData\Microsoft\RAC.

Эксперт в области безопасности опубликовал список файлов, за которыми охотится новая версия вредоносной программы:

#drweb

Источник

Расширенный инструментарий Windows включает в том числе средства для составления отчетов о зависаниях, обнаружения взаимоблокировок и выявления утечек памяти. В частности, компонент операционной системы «Анализ надежности» (Reliability Analysis Component (RAC)) действительно участвует в вычислении индекса стабильности системы (System Stability Index), предоставляя информацию для утилиты «Монитор надежности» (Reliability Monitor). С этой целью RAC каждый час запускает запланированную задачу RACAgent, которая отслеживает все важные изменения системы, способные повлиять на стабильность (установка приложений и драйверов, а также обновлений для них и для самой ОС), и сбрасывает все собранные данные в локальный каталог. Они хранятся в Windows Management Instrumentation (WMI) – в записях Win32_ReliabilityStabilityMetrics и Win32_ReliabilityRecords. «Монитор надежности» отображает данные, собранные компонентом RAC, в виде диаграммы и пересчитывает индекс стабильности с учетом событий, способных повлиять на стабильность системы.

Но к данным, собранным RAC, могут получать доступ и другие программы помимо Reliability Monitor. Например, система отзывов о продуктах Microsoft или скрипты, написанные на PowerShell.

Более подробная информация доступна здесь.

Получить доступ к Reliability Monitor достаточно просто: Пуск → Выполнить → Панель управления (Control Panel):

#drweb

Далее: Система и безопасность (System and Security) → Центр безопасности и обслуживания (Action Center) → Обслуживание (Maintenance)

#drweb

Нажимаем на ссылку Показать журнал стабильности работы – и открывается «Монитор стабильности системы».

#drweb

Также его можно запустить командой perfmon /rel.

Из списка данных, собираемых службой RAC, становится понятно, зачем она нужна злоумышленникам: информация об установленных программах и обновлениях к ним позволяет спланировать атаку.

Ничто не мешает отключить очередной сбор данных, если у вас все работает стабильно. Для этого нужно зайти в Планировщик заданий Windows (Task Scheduler) и отключить задачу. Правда, компоненты системы, ответственные за сбор информации о ней, удалены не будут, что позволит в будущем их включить.

Пуск → Администрирование → Планировщик заданий → Библиотека планировщика → Microsoft → Windows → RAC.

#drweb

Выбираем Отключить.

#троянец #Windows #вредоносное_ПО

Dr.Web рекомендует

А TrickBot мы блокируем…

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: