Råtta. Vad är Trojan Rat hur man upptäcker och tar bort det


Vad står förkortningen RAT för?
RAT - Rat (engelska). Under förkortningen RÅTTA döljer en trojansk beteckning som inte är särskilt trevlig för varje användare, med hjälp av vilken en angripare kan få fjärråtkomst till en dator. Många översätter felaktigt denna förkortning som Remote Administration Tool - ett verktyg för fjärradministration, men faktiskt betyder förkortningen RAT Fjärråtkomst Trojan- Trojansk hästprogram för fjärråtkomst.

Egentligen spion För att se länken Kom in eller Registrera RAT -programmet är ett av de farligaste skadliga programmen som gör att en angripare inte bara får åtkomst till din dator utan också full kontroll över den. Med hjälp av RAT -programmet kan en angripare fjärrinstallera en keylogger eller annan skadlig kod. Med hjälp av detta program kan en hacker också infektera filer och göra mycket mer utan din vetskap.

Hur fungerar RAT -programmet?
RAT består av två delar: klient och server. I själva RAT -programmet (Client) som körs på angriparens dator skapas ett serverprogram som skickas till offret. När offret startat servern visas en fjärrdator (värd) i klientprogramfönstret som du kan ansluta till på distans. Allt .., från och med nu är offrets dator under fullständig kontroll av angriparen.

RAT Trojan Capabilities

  • Spåra användaråtgärder
  • Kör filer
  • Inaktivera och stoppa Windows -tjänster
  • Fånga och spara skärmdumpar av skrivbordet
  • Starta webbkamera
  • Skanna nätverk
  • Ladda ner och ändra filer
  • Och mycket mer
Populära RAT -program
  • Darkcomot råtta
  • CyberGate
  • ProRAT
  • Turkojan
  • Bakre öppning
  • Cerberus råtta
  • Spy-Net
Vad är det bästa RAT -programmet?
Den bästa RAT -trojanen hittills är DarkComet Rat

Hur smittas RAT -trojanen?
Infektion med RAT -viruset sker på ungefär samma sätt som annan skadlig kod genom:

  • Massinfektion på warez och torrent webbplatser.
  • Skript (exploater) på webbplatser som laddar ner RAT till din dator utan din vetskap.
  • Det är värt att notera att i de flesta fall uppstår RAT -trojanska infektioner inte från en massinfektion, utan från en riktad infektion av din dator av vänner eller kollegor.
Förresten, antivirusprogram kan inte alltid förhindra infektion, vissa antivirusprogram upptäcker helt enkelt inte ett virus, eftersom ingen idag bara skickar en trojan, idag är den krypterad på förhand.
Hur man förhindrar RAT Trojan -infektion?
  • Öppna inte okända filer som du får via e -post.
  • Använd säkra webbläsare.
  • Ladda ner och installera program endast från utvecklarens webbplats.
  • Undvik fysisk kontakt med datorn av främlingar.
  • Ta bort antivirus och installera en bra brandvägg och en bra sniffer.
Hur förstår du att du har en RATT Trojan?
Det är inte särskilt lätt att förstå att du har PAT installerat på din dator, men det är möjligt. Här är de tecken som kan indikera närvaron av en trojansk häst på din dator:
  • Märklig nätverksaktivitet i brandväggen, särskilt hög utgående trafik.
  • Datorn började sakta ner eller Internethastigheten sjönk avsevärt.
  • Ditt lösenord från sociala medier har stulits. nätverk eller e -post.
  • Misstänkt trafik i en sniffer
Hur botar jag en dator infekterad med en trojan?
Det är ganska svårt att upptäcka RAT Trojan. Du kan ladda ner skannern För att se länken

Vad står förkortningen RAT för?

RAT - Rat (engelska). Under förkortningen RÅTTA döljer en trojansk beteckning som inte är särskilt trevlig för varje användare, med hjälp av vilken en angripare kan få fjärråtkomst till en dator. Många översätter felaktigt denna förkortning som Remote Administration Tool - ett verktyg för fjärradministration, men i själva verket betyder förkortningen RAT Fjärråtkomst Trojan- Trojansk hästprogram för fjärråtkomst.

Faktum är att RAT är ett av de farligaste skadliga programmen som tillåter en angripare att inte bara få åtkomst till din dator utan också fullständig kontroll över den. Med hjälp av RAT -programmet kan en angripare fjärrinstallera en keylogger eller annan skadlig kod. Med hjälp av detta program kan en hacker också infektera filer och göra mycket mer utan din vetskap.

Hur fungerar RAT -programmet?

RAT består av två delar: klient och server. I själva RAT -programmet (Client) som körs på angriparens dator skapas ett serverprogram som skickas till offret. När offret startat servern visas en fjärrdator (värd) i klientprogramfönstret som du kan ansluta till på distans. Allt .., från och med nu är offrets dator under fullständig kontroll av angriparen.

RAT Trojan Capabilities

  • Kör filer
  • Inaktivera och stoppa Windows -tjänster
  • Fånga och spara skärmdumpar av skrivbordet
  • Skanna nätverk
  • Ladda ner och ändra filer
  • Övervaka, öppna och stäng portar
  • Att göra narr av tekannor och mycket mer

Populära RAT -program

  • Darkcomot råtta
  • CyberGate
  • ProRAT
  • Turkojan
  • Bakre öppning
  • Cerberus råtta
  • Spy-Net

Vad är det bästa RAT -programmet?
Den bästa RAT -trojanen hittills är DarkComet Rat

Hur smittas RAT -trojanen?

Infektion med RAT -viruset sker på ungefär samma sätt som annan skadlig kod genom:

  • Massinfektion på warez och torrent webbplatser.
  • Skript (exploater) på webbplatser som laddar ner RAT till din dator utan din vetskap.
  • Det är värt att notera att i de flesta fall kommer RAT -trojanska infektioner inte från en massinfektion, utan från en riktad infektion av din dator av vänner eller kollegor.

Förresten, antivirus kan inte alltid förhindra infektion, vissa antivirus upptäcker det helt enkelt inte, eftersom ingen idag bara skickar en trojan, idag är det förkrypterad (vad är krypt och hur vi kommer att berätta för dig i en annan artikel) .

Hur man förhindrar RAT Trojan -infektion?

  • Öppna inte okända filer som du får via e -post.
  • Använd säkra webbläsare.
  • Ladda ner och installera program endast från utvecklarens webbplats.
  • Undvik fysisk kontakt med datorn av främlingar.
  • Ta bort till helvetet med antivirus och installera en bra brandvägg och en bra sniffer. Du kan naturligtvis lämna antivirusprogrammet, jag förstår att vanan är ... men du måste använda en brandvägg. Men om du lär dig att använda en sniffer, så kommer du i mina ögon att bli avancerade användare, utan fem minuter, experter inom datasäkerhet))!

Hur förstår du att du har en RATT Trojan?

Det är inte särskilt lätt att förstå att du har PAT installerat på din dator, men det är möjligt. Här är de tecken som kan indikera närvaron av en trojansk häst på din dator:

  • Märklig nätverksaktivitet i brandväggen, särskilt hög utgående trafik.
  • Datorn började sakta ner eller Internethastigheten sjönk avsevärt.
  • Ditt lösenord från sociala medier har stulits. nätverk eller e -post.
  • Misstänkt trafik i

Hur botar jag en dator infekterad med en trojan?

Det är ganska svårt att upptäcka RAT Trojan. Du kan ladda ner gratis antivirus med uppdaterade databaser, till exempel en utmärkt skanner enligt mig och skanna din dator. Faktum är att om du inte kan mycket om datorer är det lättare att inte leta efter en nål i en höstack, men efter att ha sparat viktiga dokument, formatera din dator och installera om Windows.

Förresten, genom att installera jailbroken Windows, riskerar du att bli infekterad redan i installationsskedet. Eftersom några vänsterhänta församlingar som distribueras på nätverket redan har bäddat in bokmärken, spioner, virus, dolda radminer, rms och annan skönhet. Jag kände en datorguide som, utan att veta det, installerade den vänstra Windows-enheten på klientmaskiner, den berömda ZverCD-körningen

Video: Working RAT av DarkComet Trojan

Skapades nyligen Fjärråtkomst Trojan(RAT) som använder protokollet Telegram att stjäla användardata genom en infekterad enhet. RAT är skrivet i Python och är för närvarande fritt tillgängligt för nedladdning på kodbytesportaler ( Github).

Skaparen av RAT hävdar att syftet med RAT enbart var att optimera och förbättra arbetet som utförts för RAT. Författaren betonar att huvudproblemet med de flesta av RAT: erna är att de inte använder kryptering och ber om att möjliggöra portvidarebefordran på offrets enhet för att styra infekterade värdar. Utvecklaren erbjuder sitt eget verktyg som heter RATAtack, som använder Telegramprotokoll för att stödja den krypterade kanalen för offret och kanalens skapare, och kräver inte portvidarebefordran, eftersom Telegram -protokollet tillhandahåller en enkel kommunikationsmetod med målet utan att först konfigurera porten.

RAT fungerar genom bots i Telegram

Innan RATatack ser ut måste RAT -användaren skapa en bot i Telegram, ta token för denna bot och placera den i RAT -konfigurationsfilen. Efter att offret infekterats med RATAttack ansluter alla värdar till botens kanal. Ägaren till RATAttack kan ansluta till samma kanal och följa enkla instruktioner för att hantera RATatack -klienter på infekterade värdar. Enligt den aktuella versionen av RATAttack stöds följande kommandon:

Pytonorm

/ pc_info - Hämta information om datorn / msg_box - Visar ett fönster med texten / ögonblicksbilden - tar en ögonblicksbild från webbkameran / ip_info - Visar IP / download_file - Hämtar filen / list_dir - Lista filer i den aktuella mappen / run_file - Kör filen / capture_pc - Skärmdump av skrivbordet / keylogs - Keylogger / self_destruct - Förstör sig själv

Telegram RAT -gränssnitt

Nedan följer några av RATAttack -funktionerna, liksom de som är under utveckling:

  • Lansering av en keylogger på mål -PC;
  • Erhålla information om mål -PC, nämligen: Windows -version, processor, etc.
  • Erhålla information om målets IP -adress och dess ungefärliga plats på kartan;
  • Visa en meddelanderuta med anpassad text på måldatorn;
  • Lista över alla kataloger i måldatorn;
  • Lokal nedladdning av alla filer från måldatorn i bakgrunden;
  • Ladda ner lokala filer till måldatorn. Skicka bilder, pdf -dokument, exe och andra filer till Telegram -boten;
  • Rikta in datorns skärmdumpar;
  • Körning av alla filer på måldatorn.

Funktioner under utveckling:

  • Självförstörande RAT på måldator;
  • Bilder från webbkameran (om sådan finns);
  • Radera filer på målets dator

RATAttack är skrivet in Python 2.7, men författaren lovade en version för Python 3.X.

Mystisk "ansvarsfriskrivning" kommer att hålla skurkarna borta

Liksom de flesta "mörka" utvecklare som skapar en RAT med dubbla ändamål, namngav utvecklaren hans skapelse Remote Administration Tool(Remote Administration Tool). Även om några av de funktioner han arbetar med för närvarande vanligtvis finns i onda trojaner... De är inte lagliga fjärradministrationsverktyg som TeamviewerÖvrig.

Utvecklaren glömde inte heller att köra det gamla numret och den obligatoriska "ansvarsfriskrivningen" i slutet av beskrivningen RATAattack i hopp om att undvika de konsekvenser som angripare skulle få genom att använda hans kod, som är fritt tillgänglig för att spionera makar, hacka företag eller hålla dissidenter under övervakning. Förmodligen bör detta verktyg endast användas på auktoriserade system. All obehörig användning av detta verktyg utan tillstånd är olaglig... Frågan om programvara med dubbla användningsområden som används för juridiska och kriminella ändamål diskuterades nyligen i nyheterna.

Synspunkten till stöd för RAT-utvecklarna uttrycks i en artikel med titeln "FBI arresterade en hackare som hackade ingen", medan Infosec-journalisten Brian Krebs framförde ett motargument i form av en artikel med titeln "Brott och programvara för två ändamål är inte Så ny. "... Båda artiklarna rekommenderas att läsa, för att förstå varför du inte ska lura myndigheterna och brottsbekämpande myndigheter i synnerhet och kalla din programvara för Remote Administration Tool, som innehåller tydliga funktioner för skadlig kod. Kodförfattaren har delat sin utveckling på GitHub, så baserat på sorglig erfarenhet är det bara en tidsfråga innan vi ser det i händerna på riktiga skadliga företag.

Uppdatering (19 april 2017, 03:55): Ritiek Malhotra (@Ritiek) Raderade mitt förråd på Github. Gafflar har redan gjorts på github. Användaren @mvrozanti har till och med börjat utöka funktionaliteten.

Fjärradministrationsprogram(Remote Administration Tools, förkortat som RAT) används för att fjärrstyra arbetsstationer eller andra datorenheter, och är en typ av potentiellt farlig programvara. Genom dem kan du utföra nästan alla åtgärder med ett fjärrsystem: överföra filer, övervaka användaråtgärder, göra systeminställningar, styra ingångs- / utdatafunktioner, etc. Oftast består sådana program av två delar - skadlig kod på den infekterade datorn som ger åtkomst till systemet. Det finns dock alternativ som låter dig styra från en webbläsare för dem som behöver ha åtkomst från vilken dator som helst utan förinstallerade program.

För juridiska ändamål används de för att få tillgång till resurser på en annan dator (till exempel för att hantera en arbetare från en hemdator) och fjärrstyrt tekniskt stöd för lågutbildade användare för att lösa tekniska problem.

Det finns dock ett tredje, olagligt alternativ - fjärranslutning av en angripare för att få full kontroll över datorn och alla funktioner som denna kontroll ger. Men arsenalen med RAT Trojaners verktyg är inte begränsad till att stjäla information och inaktivera datorn: de flesta av dem ger en hackare möjlighet att "spionera" på en webbkamera, lyssna på data från en mikrofon, ta reda på platsen för en infekterad enhet (om den har en GPS) ger de åtkomst till skrivbordet (RDP) och kommandoraden, för att bara nämna det minsta antalet RAT -funktioner!

Klassificering av fjärradministrationsprogram

RAT (Remote Administration Tools) - program kan vara både lagliga och olagliga. I juridisk mening är dessa program ett utmärkt verktyg för en systemadministratör som kan arbeta på distans med en klient. Olagligt används RAT ofta av hackare för att spionera på eller samla in information om offret. Varje utvecklare försöker implementera sin egen uppsättning tillgängliga funktioner, beroende på uppgifter, användningssegment och användares kvalifikationer, fokus på betald eller gratis distribution.

Oftast är fjärradministrationsprogram uppdelade så långt som möjligt för att fungera på olika operativsystem - Windows, macOS, Linux, som kan fungera med flera operativsystem, vilket ger åtkomst från mobila enheter.

När det gäller säkerhet finns det program som ger åtkomst med ett lösenord och de som kräver tillstånd från användaren av en fjärrdator, system med inbyggda krypteringsprotokoll, möjligheten att filtrera efter ID och IP.

Hur används fjärradministrationsprogram?

RAT (Remote Administration Tools) hackare använder för att spionera på en person eller samla in information om honom. I detta fall kan målet vara vem som helst: en välkänd politisk figur, eller en vanlig person, om vars liv någon vill veta mer i detalj.

Med fysisk åtkomst till servern kan en angripare stjäla klientens ID och lösenord eller skapa sitt eget. Du kan arbeta på klientmaskinen i avsaknad av ägaren, eller, igen, kopiera åtkomstlösenordet. En annan typ av attack är infektion med en keylogger -trojan eller ett annat program som stjäl lösenord. Slutligen kan du stjäla ett papper där lösenordet skrivs ner.

Ett annat inflytandeobjekt kan vara kanalen genom vilken ägaren av den kontrollerade datorn överför lösenordet för anslutningen. För överföring, telefoner (SMS eller muntlig konversation), e-post, Skype, används någon av snabbmeddelandena, och om brottslingen kan komma åt överföringskanalen får han ett lösenord och möjlighet att styra någon annans maskin .

Hur distribueras fjärradministrationsprogram?

Normalt matas RAT in av en inkräktare på en dator genom fysisk kontakt. En lika vanlig metod är social engineering. En hacker kan förse ett offer med RAT (Remote Administration Tools) som ett intressant, användbart program som tvingar offret att installera det själv.

Förutom program kan en hacker använda verktyg som är förinstallerade i operativsystemet som inte är tillräckligt skyddade eller skyddade med ett svagt lösenord, till exempel RDP eller Telnet.

Ingångspunkten för en hackare kan också vara ett fjärradministrationsprogram installerat en gång och glömt av en systemadministratör, till vilken en hackare kan gissa ett lösenord och få kontroll över en dator.

Nästa sårbarhet är att konfigurera åtkomsträttigheter till ett fjärrsystem. Du kan tillåta åtkomst endast på begäran av användaren, med vissa identifierare och endast från vissa IP -adresser, men ofta väljer användare autokörning från valfri adress. Detta är bekvämt när du behöver tillgång till en bil som ingen sitter vid (till exempel din egen arbetsdator), men samtidigt öppnar vägen för kriminella.

Och det sista är den mänskliga faktorn. Oftast används fjärråtkomst inte av externa hackare, utan av deras egna permitterade anställda. Som redan nämnts kan dussintals datorer ha fjärrhanteringsverktyg installerade. Som ett resultat kan en tidigare anställd antingen infiltrera systemet själv eller sälja information till konkurrenter.

Att installera fjärråtkomstprogram i hemlighet från användaren kan också utgöra ett hot. Hon kanske inte ger sig av alls, medan angriparen kommer att kunna kopiera nödvändig information och störa systemet.

Risker med att använda fjärradministrationsprogram

Ofta används fjärradministration för att hjälpa mer avancerade kamrater eller supporttjänster. Åtkomst tillåts från alla IP -adresser utan bekräftelse, och ett svagt lösenord används. Även en nybörjare kan hacka en sådan dator.

Det är viktigt att använda unika och starka lösenord för varje maskin och varje tjänst, eftersom en root: toor eller admin: admin hacker snabbt kan ta upp och få helt eller delvis kontroll över en dator, vilket kan bli en utgångspunkt för att hacka hela ett företags infrastruktur.

Det finns ingen lösning som passar alla, eftersom varje förstärkning av säkerheten, införandet av ytterligare restriktioner oundvikligen komplicerar och ibland gör det omöjligt att arbeta normalt.

Du bör dock inte tillåta fjärråtkomst till dem som inte uttryckligen behöver det. Det är viktigt att övervaka de vanliga OS -verktygen och -programmen som är installerade på datorn, eftersom de också kan hackas och ge hackaren kontroll över maskinen.

Du måste installera ett bra antivirusprogram på din (a) dator (er) som kan övervaka aktiviteten hos program och trafik, vilket förhindrar obehöriga åtgärder.

Det är mycket viktigt från sidan av informationssäkerhetstjänster, såväl som från användarnas sida, att övervaka de program som är installerade på datorn, samt kontrollera inställningarna för standardverktyg. Dessutom måste du installera en uppdaterad brandvägg och ett pålitligt antivirusprogram som ger beteendeanalys. Med den här funktionen kan fjärradministrationsprogram upptäckas som potentiellt farliga eller skadliga program.


2021 gtavrl.ru.