# AN0441 — Analytic 0441 ## Descrição Detecta execuções incomuns de protetor de tela (`.scr`) correlacionadas com modificações recentes nos valores do registro `HKCU\Control Panel\Desktop` como `SCRNSAVE.exe`, `ScreenSaveTimeout` e `ScreenSaveActive`, com foco em caminhos de imagem PE inconsistentes com protetores de tela legítimos conhecidos e ativação após timeout de inatividade do usuário. A telemetria necessária inclui monitoramento de modificações no registro (Sysmon Event ID 13) para chaves de protetor de tela, logs de criação de processos para identificar executáveis `.scr` não catalogados e correlação com inventário de software aprovado. Essa detecção é relevante porque a persistência via protetor de tela é uma técnica discreta que abusa de um mecanismo legítimo do Windows para executar código malicioso quando o usuário está inativo, dificultando a detecção por monitoramento ativo. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1546-002-event-triggered-execution-screensaver|T1546.002 — Screensaver]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1547-001-boot-or-logon-autostart-execution-registry-run-keys|T1547.001 — Registry Run Keys / Startup Folder]] --- *Fonte: [MITRE ATT&CK — AN0441](https://attack.mitre.org/detectionstrategies/DET0154#AN0441)*