Что такое ратник в компьютере
Троян удаленного доступа (RAT) - это тип вредоносного ПО, которое позволяет хакерам отслеживать и контролировать ваш компьютер или сеть. Но как работает RAT, почему хакеры их используют и как их избежать?
Если вам когда-либо приходилось вызывать техподдержку для ПК, то вы, вероятно, знакомы с магией удаленного доступа. Когда удаленный доступ включен, авторизованные компьютеры и серверы могут контролировать все, что происходит на вашем ПК. Они могут открывать документы, загружать программное обеспечение и даже перемещать курсор по экрану в режиме реального времени.
RAT - это тип вредоносного ПО, очень похожий на легальные программы удаленного доступа. Основное отличие, конечно, заключается в том, что RAT устанавливаются на компьютер без ведома пользователя. Большинство легитимных программ удаленного доступа созданы для технической поддержки и обмена файлами, а RAT - для слежки, взлома или уничтожения компьютеров .
Подобно большинству вредоносных программ, RAT встраиваются в легитимные файлы. Хакеры могут прикрепить RAT к документу по электронной почте или в большом программном пакете, например в видеоигре.
Рекламные объявления и вредоносные веб-страницы также могут содержать RAT, но большинство браузеров предотвращают автоматическую загрузку с веб-сайтов или уведомляют вас, когда сайт небезопасен.
Вообще говоря, RAT не замедляет работу вашего компьютера, и хакеры не всегда выдают себя, удаляя файлы или перемещая курсор по экрану. В некоторых случаях пользователи заражённые RAT, годами не замечают ничего плохого.
Большинство компьютерных вирусов сделаны с единственной целью. Кейлоггеры автоматически записывают все, что вы вводите, вымогатели ограничивают доступ к вашему компьютеру или его файлам до тех пор, пока вы не заплатите, а рекламное ПО выдает сомнительную рекламу на ваш компьютер для получения прибыли.
Но крысы особенные. Они дают хакерам полный анонимный контроль над зараженными компьютерами.
Кроме того, хакеры могут использовать RAT для скрытой активации веб-камеры или микрофона компьютера.
Хакер с RAT может стереть ваш жесткий диск, загрузить нелегальный контент из Интернета через ваш компьютер. Хакеры также могут удаленно управлять вашим компьютером, чтобы выполнять незаконные действия в Интернете от вашего имени, или использовать вашу домашнюю сеть в качестве прокси-сервера для анонимного совершения преступлений.
Хакер также может использовать RAT, чтобы взять под контроль домашнюю сеть и создать ботнет.
По сути, ботнет позволяет хакеру использовать ваши компьютерные ресурсы для выполнения часто нелегальных задач, таких как DDOS-атаки, майнинг биткойнов, хостинг файлов и торрент. Иногда эту технику используют кибер преступники или во время кибервойны.
Не беспокойся. Крыс легко избежать
Если вы хотите избежать RAT, не загружайте файлы из источников, которым вы не можете доверять.
Вы не должны открывать вложения электронной почты от незнакомых людей (или потенциальных работодателей)
Вы не должны загружать игры или программное обеспечение с не официальных веб-сайтов и не должны качать торрент-файлы, если они не из надежного источника.
Обновляйте ваш браузер и операционную систему с помощью исправлений безопасности.
Конечно, вы должны включить антивирусное программное обеспечение. Защитник Windows входит в комплект поставки вашего ПК (и, честно говоря, это отличное антивирусное программное обеспечение), но если вам нужна дополнительная защита, вы можете загрузить коммерческое антивирусное программное обеспечение.
Поскольку большинство хакеров используют известные RAT (вместо того, чтобы разрабатывать свои собственные), антивирусное программное обеспечение является самым простым способом поиска и удаления RAT с вашего компьютера.
Если у вас запущен антивирус, но вы все еще параноидально чувствуете, что на вашем ПК есть RAT, вы всегда можете отформатировать компьютер . Это решительная мера, но вероятность успеха составляет 100% Если антивирусное программное обеспечение не находит RAT, то, вероятно, у вас нет RAT.
Что вы думаете о вредоносных программах? Дайте нам знать в комментариях ниже.
Zip File, мамкины хацкеры. Нынче, мы рассмотрим малораспространённый вид ратников, которые работают без открытия внешних портов на роутере. Дело в том, что каждый провайдер устанавливает свои собственные правила, и некоторые из них прямо в наглую закрывают возможность открытия портов для клиентов. В такой ситуации не остаётся ничего другого, кроме как использовать сторонний VPN-сервис или имеющийся в распоряжении хостинг. И т.к. у любого уважающего себя IT’шника, есть хотя бы 1 сайт на обслуживании, далее мы рассмотрим именно вариант с хостом.
Сам ратник был слит с одного небезызвестного форума, который наш любимый роскомнадзор хлопнул ещё в конце марта. Но для вас, мои верные други, я конечно же выложу его в Telegram-канале. Так что, если после просмотра вы захотите воспользоваться им в обучающих целях, никаких проблем не возникнет. Перейдёте по ссылочке в описании, скачаете и сможете повторить описанные мной действия просто на изи.
Ну а я, по традиции, не буду тянуть котика за яйчишки и сразу перейду к практике. Если готовы увидеть, как злоумышленники используют online-ратники, наливайте чаёчек, устраивайтесь по удобней и будем начинать. Но прежде, мне бы хотелось поблагодарить самых активных камрадов, поддержавших проект покупкой обучающих курсов и прямыми донатами на этой неделе. Большое спасибо за вашу поддержку, друзья. Вы лучшая аудитория, которую только можно желать. А мы начинаем.
Шаг 1. В первую очередь, необходимо забросить на хостинг серверную часть нашего ратника. Открыв файловый менеджер, закидываем в корень папку «UPLOAD».
Шаг 2. И после загрузки распаковываем архив в новую папку.
Шаг 3. Далее выделяем внутри все файлы с расширением *txt.
Шаг 4. И изменяем права доступа на 777.
Более подробно о цифирных и буквенных значениях чмода я рассказываю в своём обучающем курсе «Администрирование Linux с нуля». Так что если хотите всерьёз заниматься технологиями, а не теребить письку смотря ролики на ютубе, то вэлком. Ссылку найдёте в описании к ролику.
>>>КЛИКНИТЕ, ЧТОБЫ УЗНАТЬ ПОДРОБНОСТИ
Шаг 5. Ну а мы переходим к работе с веб-мордой. К имени своего сайта дописываем UPLOAD и после загрузки видим просьбу о вводе пароля.
Шаг 6. Сам пароль хранится в файле «password.php». По дефолту он состоит из двух W. По желанию можете изменить на более безопасный.
Шаг 7. Возвращаемся к морде и введя пароль кликаем «Gain Access».
Шаг 8. Перед нами урезанный функционал, позволяющий отправлять синьки и блэки на компьютер жертвы, а также запускать несколько основных системных утилит. К сожалению, пока что ни одна из них недоступна, ибо так называемые рабы не онлайн.
Шаг 10. Снова запускаем программу и на этот раз идём в меню смены пароля. Вводим комбинацию заданную в «password.php» и сохраняем все изменения.
Шаг 11. Запускаем CTв последний раз и на этот раз раскрываем вкладку «ServerSettings». Подключение установлено, а значит самое время создать новый сервер.
Шаг 13. И указав месторасположение задаём имя новому файлу. Помните, что эту экзешку, вам предстоит в дальнейшем теоретически каким-то образом распространить на компьютер жертвы. Для этого существует масса различных способов. Ссылка на один из моих любимых вариантов всплывёт в уголочке в виде подсказки.
Шаг 14. Переходим на ПК жертвы и запускаем тестовый ратник.
Шаг 15. Далее, вернувшись к админ-панели обновляем список слэйвов. В зависимости от скоростных характеристик вашего хостинга и интернет соединения это может занять от доли секунды, до нескольких минут.
Шаг 16. Благо у меня с этим дело всё ок, поэтому клиент в списке появился практически мгновенно. Давайте сразу же попробуем заслать ему синьку.
Шаг 17. Проверяем результат на обратке. Всё гуд. Семёрка накрылась кромешней заливкой.
Шаг 18. Теперь давайте попробуем провернуть какую-нибудь бяку из web-морды. Открываем браузер и после обновления статуса слэйвов выбираем к примеру черный экран.
Шаг 19. Чекаем жертву. Профит. С сайта всё также прекрасно работает.
Ну а те, кто смотрит мои видосы исключительно в развлекательных целях, не забывайте делиться ими со своими друзьями. Так, данный ролик уж точно заслуживает того, чтобы его увидели те, кто в теме. Ведь в сети, практически нет путного объяснения, каким образом будучи нищебродом жмущим сотку на белый IP, можно собрать рабочий ратник без открытия портов.
И не надо писать, мол чё ты гонишь, ведь плата за хостинг — это тоже не мало. Не надо ля-ля. Во-первых, халявных хостингов сейчас предостаточно. Можно хоть каждую неделю регистрировать тестовый с полным функционалом. А во-вторых, те кто админят сайты, как правило никогда сами за них не платят. Сия головная боль ложится на плечи работодателя. А учитывая, что больше половины моей аудитории – это админы, для них данный способ будет особенно актуален.
Что ж, друзья. На этом будем потихонечку закругляться. Если впервые забрёл на канал, то непременно клацни на колокол и в твоей ленте будут регулярно появляться годные ролики на тему вирусологии, пентестинга и информационной безопасности. С олдов, как обычно, жду лайки и комментарии по поводу того, какие лично вы знаете способы взаимодействия с ратниками без открытия портов на роутере.
Также пишите, какие из Ратов самые бодрые. Следующий видосик думаю сделать непосредственно обзорным, поэтому хотелось бы выбрать наиболее функциональный. Напоследок, традиционно желаю всем удачи, успехов и самое главное отсутствия вирусов. Берегите себя и компьютеры своих близких. Не ловите коварных крыс и никогда не используйте знания из моих роликов в противоправных целях.
Мы тут всеми правдами и неправдами топим за повышение уровня осведомлённости населения, а не воспитываем злоумышленников. Помните это. Ну а с вами, как обычно, был Денчик. Искренне благодарю за просмотр. До новых встреч, камрады. Всем пока.
Однако, я предпочитаю, когда прога работает из коробки. Тем более, если она была приобретена за какую-то плату. Пусть и не слишком высокую, но тем не менее. Ладненько, это всё лирика, особенно учитывая тот факт, что вам данный ратник я естественно задарю совершенно бесплатно. Загрузить его можно прямо из нашего уютного паблика в телеграмме.
Поэтому если вы ещё там ни разу не побывали, то сейчас отличный повод присоединиться к движухе. Ссылку на переход ищите в описании. Ну а мы переходим к практической части.
Шаг 1. Я уже показывал вам миллион способов взаимодействия с ратниками без открытия портов на своём роутере. Нынче будет миллион первый. Использование стороннего VPN-сервиса. В качестве примера я выбрал hidemy.name, т.к. у них есть полнофункциональный пробник на сутки, а для дальнейшего использования вам будет не трудно отыскать на просторах сети рабочие ключи для данного сервиса.
Шаг 2. Жмём попробовать бесплатно. Вводим свою электронку и получаем на почту специальный код доступа.
Шаг 3. Далее скачиваем приложение для работы VPN в системе Windows.
Шаг 4. И введя пришедший на почту код доступа жмём «Войти».
Шаг 5. Прога определяет сколько часов осталось до истечения текущей лицензии и просит нас выбрать адрес страны, IP-адрес которой будет использоваться для подключения.
Шаг 6. Отлично. IP-шник нам выдали. Теперь запускаем сам ратник и в окне выбора порта кликаем «Start».
Шаг 7. Далее запускаем билдер и переходим к детальной настройке. В строчке адрес хоста указываем айпишки выданный нам приложением от hidemy. Порт не трогаем. Обязательно включаем шифровку хоста, дабы потенциальная жертва даже вычислив левый IP не смогла напасть на наш след. Справа у нас имеется куча функционала. Разберём по порядку. Включение рата в планировщик заданий. Скрытие процесса серверной части. Отключение возможности отключения процесса. Спячка.
Шаг 9. Синька при попытке завершить процесс. Удалить файл после того, как он интегрируется в недра ОСи. Удалить все архивы с логами. Изменить расписание. Админские права на фаервол. Выключение диспетчера задач сразу после запуска вирусни. Распространять ратник по USB. Запускать какой-то процесс параллельно с запуском вируса. Тут обычно указывают блокнот, калькулятор или гугл хром. Стараться уничтожать антивирусные процессы, пытающиеся бороться с вирусом. Тут их прям туча. Справа у нас стандартное «Копирование в автозагрузку». Распространение по локальным дискам, по хардам. Внедрение в реестр. Копирование в определённую папку.
Шаг 10. Кстати, мне тут один камрад написал, что лучшее место расположения для вируса на ПК - это папка System Volume Information. Мол даже Каспер 15 лет не определял вирусы, которые умудрялись залезть в эту системную директорию. Уж не знаю, насколько это правда, но как по мне звучит не совсем логично. Ведь по идее, любой антивирь прежде всего должен сканить именно подобные директории. Олдскульные безопасники, напишите в комментах насколько данная инфа является правдой. Ну а мы переходим к сборке.
Шаг 11. Сохраняем EXE’шку на рабочем столе. В дальнейшем при желании её можно будет прогнать через обфускатор, закриптовать, склеить или прям-таки внаглую запустить на ПК потенциальной жертвы. Однако я настоятельно предостерегаю вас от подобных шалостей и в сотый раз напоминаю, что использование этих знаний в противоправных, а не учебных целях является уголовно наказуемым преступлением.
Шаг 12. Поэтому лучше не гневите судьбу и тестируйте всё в рамках безопасных виртуальных полигонов, как это делаю я. Запускаем файл на второй машинке. И в появившемся окне ERROR’а жмём ОК. Наш вирус в системе.
Шаг 13. Возвращаемся к админской панели и смотрим, что же тут можно сделать. В целом, тут стандартный набор для ратов. Удаленный рабочий стол, запуск файла, контроль микрофона и вебки. Граббер паролей, чатик, открытие сайтов, DDoS, геолокация с характеристиками железа, флипборд. Из уникального тут разве что вынесение в отдельный модуль «Plugin» отключения каких-то процессов. В частности, диспетчера задач.
Шаг 14. Давайте сразу проверим на клиентской машинке. Всё ворк.
Шаг 15. В фан функциях у нас добавились скримеры.
Шаг 16. И пакостные скрипто-вирусы из разряда «Drogan Mouse».
Шаг 17. Вот видите, после активации на клиете, постоянно вылетает контекстное меню.
Шаг 18. Также тут можно полностью стопорнуть рабочий стол.
Шаг 19. После отработки мы получаем полностью зависший ПК.
Вообще в данном ратнике хватает функционала. На обзор тех же мелких пакостей можно было бы выделить целое видео, но, к сожалению, стабильность их работы оставляет желать лучшего. Что же касается уникальных возможностей, то я вроде бы ничего не забыл. Если всё же упустил какую, то непременно напишите об этом в комментах. Ибо когда делаешь подряд пятый видос по ратам, глаз конкретно замыливается. Напоследок хотелось бы ответить на самый распространённый вопрос, касающийся крысят. Можно ли перекидывать юзеров из одного рата в другой? И тут всё не так однозначно, как может показаться на первый взгляд.
С одной стороны, часть линейки NJ’шек отлично работает в паре друг с дружкой. Т.е. вы можете собрать вирус в одном рате, а управлять из админки другого. Но с другой, подобные костыли, как правило работают через пень колоду. Поэтому, если вам вдруг потребовалось перекинуть базу пользюков с одного ратника в другой, то самый лучший способ для этого – перезаразить их по новой.
Благо для этого в ратниках есть все соответствующие возможности. Вопрос лишь в том, чтобы хотя бы первое заражение прошло удачно. Ну а на этом мы завершаем наш цикл обзоров на популярные ратники. Теперь вы знаете базовые принципы обфускации, криптования, варианты открытия портов, а также имеете представление о функциях мелких крысёнышей.
Если впервые оказался на нашем канале, то не забудь после просмотра оформить подписку. Клацнешь на колокол и в твоей ленте будут регулярно появляться новые выпуски на тему вирусологии, вардрайвинга и практического пентеста. А не клацнешь – не будут. Хули делать. С олдов по традиции жду по сочнейшему лайку и гневному комментарию про то, что ратники хрен кому скинешь, все пользуются майкросовтовским антивирусом и прочий бред унтерменшей никогда не выходивших за рамки родительской хаты.
Ну а с вами, как обычно, был Денчик. Всем удачи, успеха и самое главное насыщенных летних деньков. Берегите себя и свои тачки. Поменьше тупите за моником. Выбирайтесь на улицу. Я вот сам обязательно последую этому совету, как только придумаю подходящую тему для выпуска. Так что до новых встреч. Надеюсь, в следующий раз увидимся уже на природе. Всем пока.
RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.
На самом деле шпионская программа RAT это один из наиболее опасных вредоносных программ, который позволяет злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.
CyberGate
Интересные функции
- Сбор сведений об активной сессии
- Позволяет искать данные на устройствах
- Имеется расширенный объем получаемых данных в панели
Описание
Запуск и закрепление билда занимает около 25 с — медленно, даже по сравнению с тем же Cerebrus. Нагрузка на систему несколько выше, чем у конкурентов; к тому же при запуске он создает несколько процессов и виден в диспетчере задач. Потребляет 0,1% процессора и 4,2 Мбайт памяти. Нагружает диск на 100 Кбайт/с.
С защитой все странно: билд даже не пытается скрыть очень большое количество импортируемых библиотек и функций из них. Обфускации вызовов WinAPI нет, что не может не удивлять.
После сказанного выше детект 64/70 (91,4%) совсем не удивляет, но при проверке этой крысы на VirusTotal только один из 70 антивирусов (eGambit) смог установить точное происхождение вируса.
Полные результаты сканирования
Вердикт
Да, билд палится всем чем только можно, но прост как палка и легок в использовании. Но и вырубить его легко, он не будет особенно сопротивляться.
Возможности трояна RAT
Продолжение доступно только участникам
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Kali Linux не видит Wi-Fi адаптер
Cerberus
Интересные функции
Описание
Скорость работы высокая: на все про все нагрузке требуется около пяти секунд. При работе занимает 7,3 Мбайт памяти и практически не нагружает процессор.
Пробуем загрузить билд в DiE. Виден Borland Delphi и UPX, на который как раз и ругаются некоторые антивирусы.
Проверка на VirusTotal
Вердикт
Cerberus хорошо подходит для долговременного пребывания в системе. Его проще подсунуть жертве из‑за возможности менять расширение файла.
Из минусов — распознать Windows 10 при работе он не смог, ну и антивирусами палится прилично, так что придется криптовать. Компилятор малость устарел, а при запуске он внезапно издает звук, который совершенно не способствует незаметному заражению.
Лучший WiFi-адаптер для Kali Linux (цена-качество)
Как установить GNOME на Kali Linux
10 комментариев
Возможности трояна пункт «Прикалываться над чайниками» повеселил ))
да без крипта не прокатит, антивир пропалит сразу.
а крипт денег стоит
крипт бесплатен был, бесплатный есть и бесплатным будет.
хорошая статья но автор забыл написать ещё про рат PI
Я чувствую ,что я и есть тот чайник над которым поприкалывалась эта крыса до такой степени, что сначала я обнаружила , что почта контролируется и отправленные мною письма пришли на тот же адрес но в другом смарте, я переписываюсь вместо моих друзей с одним лишь человеком, который отслеживает все написанное через клавиатуру. Рекомендованную «Mipco» я не смогла установить, написано при скачивании «error. not found», потому что активация сделана через контролируемую почту. В мессенджере фейсбука и по смарту я не могу пазговаривать — слышу липкие комментарии среди беседы и отключение разговоров на самом важном месте. Но пиком апофеоза стала пропажа денег на моих глазах с моего банковского счета.
Заканчивается суббота. Хочу сначала получить справку банка как такое могло произойти. В полицию я уже обратилась. Даже если я защищусь с помощью ваших рекомендаций, как я смогу вернуть деньги и доказать что при попытке их снятия я не получила ничего, а преступник перевел их куда-то ,куда я не знаю. В первоначальной распечате банка значится что дегьги зашли на счет. А после моей попытки их получить отсутствует запись что они вообще поступали. Я ничего не понимаю. В этом же месяце я обнаружила что некий сайт незаконно снимал несколько месяцев деньги моей кредитной картой. Я написала им ,что поскольку не пользовалась их услугами, требую возврата денег,полученных мошенническим путем. После этого пропали деньги с моего счета. Ясно ,что все кредитки нужно закрывать. Но что делать после обращения в полицию с моим смартом?
Все ответы на ваши вопросы будут в отдельной статье.
Знаю таков троян, есть много КРЕАТОРОВ таких троянов — на пример самый простой — Dark Comet.
Сам кстати пользуюсь такими креаторами, но ничего вредоносного не делаю, максимум просто по прикалываться.
И это интересно, ещё есть один креатор — называется LinkNet.
Вроде его один поц сделал, на ютубе видосы есть, написан на delphi.
У него ООООЧЕНЬ большой функционал.
Кому надо просто введите LinkNet — CSG Chanell. (Вроде так канал называется.)
Сама прога платная, вроде. Но в коментах под видео некоторые говорят что есть бесплатная версия проги, не знаю крч.
Удалить ратник проще некуда, нужно зайти в автозагрузку и удалить все неизвестные программы из автозагрузки или все, затем перезагрузить ПК также можно заглянуть в планировщик задач и посмотреть там некие странные задания и удалить их.
У DarkComet есть такая функция: Persistant Process и Persistent Startup. Когда ты попытаешься закрыть процесс, не выйдет. Когда попытаешься удалить из автозагрузки: не выйдет. Даже в безопасном режиме не прокатит! Никак! И что чайник будет делать? А если он хорошо закриптован, то его никак не найти! И антивирус его удалять не будет! И никакая программа не поможет, кроме переустановки Windows.
Чаще всего для управления взломанными системами используются трояны удаленного доступа. Подобных инструментов множество, и в этой статье я покажу в действии сразу шесть популярных «ратников», которыми пользуются злоумышленники.
warning
Несанкционированный доступ к компьютерной информации — преступление. Ни автор, ни редакция журнала не несут ответственности за твои действия. Все тесты проводились на изолированных от реальных данных виртуальных машинах.
Вот список ратников, которые мы сегодня попробуем:
- Cerberus 1.03.5;
- CyberGate 1.07.5;
- DarkComet 5.3;
- Orcus Rat 1.9.1;
- NjRat Danger Edition 0.7D;
- Venom 2.1.
Для некоторого изучения билдов наших ратников я буду использовать Detect It Easy версии 3.01.
Оценивать их будем по следующим критериям:
- набор предлагаемых функций;
- скорость развертывания в целевой системе;
- нагрузка на компьютер жертвы;
- уровень защиты кода билда (попробуем разреверсить билд);
- проверка на VirusTotal;
- плюсы и минусы в целом.
А теперь приступим к анализу.
Как предотвратить заражение троянской программой RAT?
- Не открывать не знакомые файлы, которые вы получаете по почте.
- Пользоваться безопасными браузерами.
- Качать и устанавливать программы только с сайта разработчика.
- Не допускать физического контакта с компьютером посторонних людей.
- Удалить к чертям антивирус и поставить хороший фаервол и хороший сниффер. Можете конечно оставить антивирус, я понимаю привычка дело такое…, но фаерволом пользоваться вам надо обязательно. Но а если научитесь юзать сниффер, то в моих глазах станете продвинутыми юзверями, без пяти минут специалистами в области компьютерной безопасности ))!
DarkComet
Интересные функции
- Имеется два режима сборки вируса (минимальный и расширенный)
- Есть функция подключения сокетов (можем пробрасывать подключения для повышения безопасности)
- Можно запланировать действия
- Позволяет создать ссылку‑загрузчик для вируса
Описание
Сборка билда требует больше минуты, что сильно больше обычного для такого софта. После запуска билда потребляется 2,7 Мбайт ОЗУ, что совсем хорошо на фоне околонулевого потребления остальных ресурсов.
Билд снова не накрыт никаким протекторами или упаковщиками. В импортах сразу заметна user32.dll, из которой импортируются модули mouse и keybd , и, конечно, функция VkKeyScanA , которые позволяют сделать кейлоггер.
Проверка на VirusTotal
Вердикт
Ни один антивирус не понял, что перед ним «Комета». Впрочем, начинка билда вся торчит наружу, так что сильно распространять такие программы не стоит, хоть и кастомизация здесь полная. Да и время сборки билда не радует.
Как работает программа RAT?
RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. Всё. с этого момента компьютер жертвы под полным контролем злоумышленника.
Популярные RAT-программы
- DarkComet Rat
- CyberGate
- ProRAT
- Turkojan
- Back Orifice
- Cerberus Rat
- Spy-Net
Какая самая лучшая программа RAT?
Лучший троян RAT на сегодня это DarkComet Rat(на хаЦкерском жаргоне просто Камета)
Как работает программа RAT?
RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. Всё. с этого момента компьютер жертвы под полным контролем злоумышленника.
Похожие статьи
Как вылечить заражённый трояном компьютер?
Обнаружить троян RAT довольно сложно. Можно скачать бесплатные антивирусы с обновлёнными базами, к примеру отличный на мой взгляд сканер AVZ и просканировать компьютер. На самом деле если вы мало разбираетесь в компьютерах легче не искать иголку в стоге, а предварительно сохранив важные документы отформатировать комп и установить Windows заново.
Кстати устанавливая взломанную Windows вы рискуете заразится вирусом уже на этапе установки. Так как некоторые левые сборки которые раздаются в сети имеют уже вшитые закладки, шпионы, вирусы, скрытые радмины, рмсы и другую красоту. Я знал одного компьютерного мастера который само того не зная устанавливал на машины клиентов левую сборку Windows, знаменитую протрояненную ZverCD.
Как происходит заражение RAT-трояном?
Заражение вирусом RAT происходит почти также как другими вредоносными программами через:
- Массовое заражение на варез и торрент сайтах.
- Скрипты(эксплойты) на сайтах, которые без вашего ведома загружают RAT на ваш компьютер.
- Стои отметить что, в большинстве заражение RAT-трояном происходит не от массового а от целенаправленное заражение вашего компьютера друзьями или коллегами.
Кстати не всегда антивирусное по в силах предотвратить заражение, некоторые антивирусы попросту не детектируют вредонос, так как сегодня уже никто не посылает просто трояна, сегодня его предварительно криптуют(что такое крипт и как это делают мы расскажем в другой статье).
Как понять что у вас троянская программа RAT?
Понять что у вас на компьютере установлен РАТ очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:
- Странная сетевая активность в фаерволе, в частности высокий исходящий трафик.
- Комп начал тормозить или скорость интернета значительно просела.
- У вас увели пароль от соц. сетей или почты.
- Подозрительный трафик в сниффере.
Читайте также: