Sådan fjernes HabitsRAT

HabitsRAT er en fjernadgangstrojan (RAT), som først blev opdaget, da den udførte angreb mod kompromitterede Microsoft Exchange-servere. Imidlertid ser trussels skabere ud til at have udvidet deres drift ved at udvikle en separat version af HabitsRAT, som kører på Linux-maskiner. Begge varianter af malware er skrevet på Googles Go-programmeringssprog - en relativt ny tendens blandt malwareudviklere. Den gode nyhed er, at HabitsRAT ikke er så rig på funktioner sammenlignet med andre trusler identificeret som RAT'er - det primære formål er at gøre det muligt for operatøren at udføre fjernkode på den kompromitterede maskine. Selvom det muligvis mangler funktioner, har det nogle interessante mekanismer for at sikre, at ingen andre ville være i stand til at bruge implantatet - alle kommandoer, der sendes til det, skal underskrives med operatørens unikke private nøgle. Hvis dette stykke information mangler, udfører HabitsRAT ikke kommandoen.

Windows-versionen af HabitsRAT er meget mere aktiv sammenlignet med Linux-modstykket. Når det er implementeret på en Windows-maskine, vil malware slippe sine filer ved at bruge navnet 'WindowsDefenderMsMpEng.exe' - dette kan narre brugere, der støder på filen til at tro, at det er en del af Windows Defender Service. Selvfølgelig forsøger RAT også at få vedholdenhed ved at oprette en ny planlagt opgave kaldet WindowsDefenderScan. Når disse opgaver er udført, opretter den forbindelse til en af de foruddefinerede kommando-og-kontrol-servere og venter på instruktioner. Kommunikationen mellem HabitsRAT-implantatet og kontrolserveren er altid krypteret med operatørens private nøgle.

Udviklerne af denne malware bruger sandsynligvis Go-sproget, fordi malware skrevet i det normalt er sværere at opdage af nogle automatiserede anti-malware-værktøjer. Heldigvis varer sådanne undtagelser ikke længe, og du kan være sikker på, at HabitsRATs angreb fuldt ud kan forhindres ved brug af en opdateret antivirussoftwarepakke.