KHRAT Malware と Fa??
8/31 に paloalto Unit 42 から下記レポートが出ています。
researchcenter.paloaltonetworks.com
自動起動の手口として、タスクスケジューラが利用されています。
オリジナルではタスクの登録名前が、「"f*** you" 」とかなり目立つ名前になっています。
タスクの登録名としてこの文字列が存在すれば、すぐに気が付きますよね?
ここでは「fa」としておきます。
コマンドプロンプトから検証用にタスクを登録します。
Autorunsで確認します。
File not found:となりますが、Javascript の文字列も確認できる為、不審なエントリである事には気が付けるのではないでしょうか。