Co możemy zrobić?

Istnieje przynajmniej kilka sposobów, by zmniejszyć ryzyko zagnieżdżenia się złośliwych kodów w harmonogramie zadań. Jedną z pierwszych czynności powinno być przejrzenie plików z zadaniami. Ukryte pliki można podejrzeć przy pomocy Eksploratora Windows, polecenia Attrib.exe lub DIR /ah (z linii komend). Dużo łatwiejszym rozwiązaniem jest jednak skorzystanie z aplikacji Autoruns. Zdecydowanie warto zapoznać się z tym narzędziem - z jego pomocą możemy nie tylko przejrzeć zaplanowane zadania, niezależnie od tego czy zostały ukryte, ale da nam także wgląd we wszystkie automatycznie uruchamiane procesy i usługi.

Osobom, które nigdy nie zaglądały do folderów z zadaniami może zająć trochę czasu zorientowanie się w tym, które procesy robią coś pożytecznego, a które są podejrzane. Zapewne jest to jedną z przyczyn, dla których harmonogram zadań jest tak chętnie wykorzystywany przez cyberprzestępców. Jeśli usunięty z systemu malware powraca - jest to jedno z miejsc w których warto szukać przyczyny.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Dodatkową pomocą w śledzeniu automatycznie uruchamianych zadań może dziennik zdarzeń systemu Windows. Włączenie inspekcji prób dostępu do wspomnianych wcześniej folderów związanych z zadaniami pozwoli rejestrować podejrzane zdarzenia i alarmować użytkownika o nich - co jednak będzie wymagało "dostrojenia" dziennika zdarzeń.

Polecamy: Analizatory protokołów: jak ich używać?

Bardzo przydatne mogą okazać się również narzędzia do monitorowania pracy sieci (np. Network Monitor, Wireshark). Przydadzą się one szczególnie w przypadku poszukiwania zadań uruchamianych przez "obce" komputery. Słowo "obcy" nie musi od razu kojarzyć się pejoratywnie, należy po prostu zwracać uwagę na zadania tworzone zdalnie. Rzadko zdarza się, żeby inne komputery uruchamiały zadania na innych jednostkach czy serwerach. Prawidłowa konfiguracja programów monitorujących ruch sieciowy pozwoli szybko wykryć takie niecodzienne zachowania. Network Monitor firmy Microsoft domyślnie identyfikuje takie protokoły warstwy aplikacji, jak TCSH.

Polecamy: Darmowe narzędzia Microsoft dla profesjonalistów

Jeśli do tej pory nie interesowaliśmy się harmonogramem zadań systemu Windows, warto zacząć analizować jego pracę. Jest to jeden ze sposobów na zapewnienie sobie komfortu "czystego" systemu, bez niepożądanych gości.