HabitsRATを削除する方法
HabitsRATは、侵害されたMicrosoft Exchange Serverに対して攻撃を実行しているときに最初に検出された、リモートアクセス型トロイの木馬(RAT)です。ただし、脅威の作成者は、Linuxマシンで実行されるHabitsRATの別のバージョンを開発することにより、運用を拡大したようです。マルウェアの両方の亜種は、GoogleのGoプログラミング言語で書かれています。これはマルウェア開発者の間では比較的新しい傾向です。幸いなことに、HabitsRATは、RATとして識別される他の脅威と比較して、機能がそれほど豊富ではありません。その主な目的は、オペレーターが侵入先のマシンでリモートコードを実行できるようにすることです。機能が不足している可能性がありますが、他の誰もインプラントを使用できないようにするための興味深いメカニズムがいくつかあります。インプラントに送信されるすべてのコマンドは、オペレーターの一意の秘密鍵で署名する必要があります。この情報が欠落している場合、HabitsRATはコマンドを実行しません。
HabitsRATのWindowsバージョンは、Linuxバージョンと比較してはるかにアクティブです。マルウェアは、Windowsマシンに展開されると、「WindowsDefenderMsMpEng.exe」という名前を使用してファイルを削除します。これにより、ファイルに遭遇したユーザーは、ファイルがWindowsDefenderサービスの一部であると思われる可能性があります。もちろん、RATは、WindowsDefenderScanと呼ばれる新しいスケジュールされたタスクを作成することによって永続性を獲得しようとします。これらのタスクが完了すると、事前定義されたコマンドアンドコントロールサーバーの1つに接続し、指示を待ちます。 HabitsRATインプラントと制御サーバー間の通信は、常にオペレーターの秘密鍵で暗号化されます。
このマルウェアの開発者はおそらくGo言語を使用しています。これは、このマルウェアで記述されたマルウェアは通常、自動化されたマルウェア対策ツールでは検出が難しいためです。ありがたいことに、このような例外は長くは続かず、HabitsRATの攻撃は、最新のウイルス対策ソフトウェアスイートを使用することで完全に防止できますのでご安心ください。