# AN0372 — Analytic 0372 ## Descrição Detecta criação de mutex nomeado por adversário via APIs do sistema (como `CreateMutexW`) seguida de terminação condicional de processo ou desvio de fluxo de código, indicando mecanismo anti-reinfecção de malware. A telemetria inclui monitoramento de chamadas de API via ferramentas de endpoint (Sysmon Event ID 10 ou hooks de API) e análise comportamental de processos que verificam a existência de objetos de sincronização específicos. Essa analítica é útil para identificar instâncias de malware durante a fase de implantação — a verificação de mutex é um padrão comportamental consistente que pode revelar infecções ativas mesmo quando o payload em si é desconhecido. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0372](https://attack.mitre.org/detectionstrategies/DET0132#AN0372)*