Hvordan fjerne HabitsRAT

HabitsRAT er en ekstern tilgangstrojan (RAT,) som ble oppdaget første gang den utførte angrep mot kompromitterte Microsoft Exchange-servere. Imidlertid ser det ut til at trusselens skapere har utvidet driften ved å utvikle en egen versjon av HabitsRAT, som kjører på Linux-maskiner. Begge varianter av skadelig programvare er skrevet på Googles programmeringsspråk Go - en relativt ny trend blant malwareutviklere. Den gode nyheten er at HabitsRAT ikke er så rik på funksjoner sammenlignet med andre trusler som er identifisert som RAT - det primære formålet er å gjøre det mulig for operatøren å utføre ekstern kode på den kompromitterte maskinen. Selv om det mangler funksjoner, har det noen interessante mekanismer for å sikre at ingen andre vil være i stand til å bruke implantatet - alle kommandoer som sendes til det må signeres med operatørens unike private nøkkel. Hvis denne informasjonen mangler, vil ikke HabitsRAT utføre kommandoen.

Windows-versjonen av HabitsRAT er mye mer aktiv sammenlignet med Linux-motstykket. Når den distribueres til en Windows-maskin, vil skadelig programvare slippe filene ved å bruke navnet 'WindowsDefenderMsMpEng.exe' - dette kan lure brukere som støter på filen til å tro at det er en del av Windows Defender Service. Selvfølgelig prøver RAT å få utholdenhet ved å lage en ny planlagt oppgave kalt WindowsDefenderScan. Når disse oppgavene er utført, kobles den til en av de forhåndsdefinerte kommando-og-kontroll-serverne og venter på instruksjoner. Kommunikasjonen mellom HabitsRAT-implantatet og kontrollserveren er alltid kryptert med operatørens private nøkkel.

Utviklerne av denne malware bruker sannsynligvis Go-språket fordi malware som er skrevet i det, vanligvis er vanskeligere å oppdage av noen automatiserte anti-malware-verktøy. Heldigvis varer ikke slike unntak lenge, og du kan være trygg på at HabitsRATs angrep er fullt mulig å forhindre med bruk av en oppdatert antivirusprogramvarepakke.