Что такое троян RAT ?

Что означает аббревиатура RAT?

RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.

На самом деле шпионская программа RAT это один из наиболее опасных вредоносных программ, который позволяет злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.

Как работает программа RAT?

RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. Всё. с этого момента компьютер жертвы под полным контролем злоумышленника.

Возможности трояна RAT

Следить за действиями пользователя
Запускать файлы
Отключать и останавливать сервисы Windows
Снимать и сохранять скрины рабочего стола
Запускать Веб-камеру
Сканировать сеть
Скачивать и модифицировать файлы
Мониторить, открывать и закрывать порты
Прикалываться над чайниками и ещё многое другое

Как происходит заражение RAT-трояном?

Заражение вирусом RAT происходит почти также как другими вредоносными программами через:

Массовое заражение на варез и торрент сайтах.
Скрипты(эксплойты) на сайтах, которые без вашего ведома загружают RAT на ваш компьютер.
Стои отметить что, в большинстве заражение RAT-трояном происходит не от массового а от целенаправленное заражение вашего компьютера друзьями или коллегами.

Кстати не всегда антивирусное по в силах предотвратить заражение, некоторые антивирусы попросту не детектируют вредонос, так как сегодня уже никто не посылает просто трояна, сегодня его предварительно криптуют(что такое крипт и как это делают мы расскажем в другой статье).

Как предотвратить заражение троянской программой RAT?

Не открывать не знакомые файлы, которые вы получаете по почте.
Пользоваться безопасными браузерами.
Качать и устанавливать программы только с сайта разработчика.
Не допускать физического контакта с компьютером посторонних людей.
Удалить к чертям антивирус и поставить хороший фаервол и хороший сниффер. Можете конечно оставить антивирус, я понимаю привычка дело такое…, но фаерволом пользоваться вам надо обязательно. Но а если научитесь юзать сниффер, то в моих глазах станете продвинутыми юзверями, без пяти минут специалистами в области компьютерной безопасности ))!

Как понять что у вас троянская программа RAT?

Понять что у вас на компьютере установлен РАТ очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:

Странная сетевая активность в фаерволе, в частности высокий исходящий трафик.
Комп начал тормозить или скорость интернета значительно просела.
У вас увели пароль от соц. сетей или почты.
Подозрительный трафик в сниффере

Как вылечить заражённый трояном компьютер?

Обнаружить троян RAT довольно сложно. Можно скачать бесплатные антивирусы с обновлёнными базами, к примеру отличный на мой взгляд сканер AVZ и просканировать компьютер. На самом деле если вы мало разбираетесь в компьютерах легче не искать иголку в стоге, а предварительно сохранив важные документы отформатировать комп и установить Windows заново.

Кстати устанавливая взломанную Windows вы рискуете заразится вирусом уже на этапе установки. Так как некоторые левые сборки которые раздаются в сети имеют уже вшитые закладки, шпионы, вирусы, скрытые радмины, рмсы и другую красоту. Я знал одного компьютерного мастера который само того не зная устанавливал на машины клиентов левую сборку Windows, знаменитую протрояненную ZverCD

Видео: Работа RAT трояна DarkComet

Evil Corp самая дерзкая хакерская группировка

Можно ли перехватить управление коптером

Хакерские форумы даркнета

9 комментариев

Возможности трояна пункт «Прикалываться над чайниками» повеселил ))

да без крипта не прокатит, антивир пропалит сразу.
а крипт денег стоит

крипт бесплатен был, бесплатный есть и бесплатным будет.

хорошая статья но автор забыл написать ещё про рат PI

Я чувствую ,что я и есть тот чайник над которым поприкалывалась эта крыса до такой степени, что сначала я обнаружила , что почта контролируется и отправленные мною письма пришли на тот же адрес но в другом смарте, я переписываюсь вместо моих друзей с одним лишь человеком, который отслеживает все написанное через клавиатуру. Рекомендованную «Mipco» я не смогла установить, написано при скачивании «error. not found», потому что активация сделана через контролируемую почту. В мессенджере фейсбука и по смарту я не могу пазговаривать — слышу липкие комментарии среди беседы и отключение разговоров на самом важном месте. Но пиком апофеоза стала пропажа денег на моих глазах с моего банковского счета.
Заканчивается суббота. Хочу сначала получить справку банка как такое могло произойти. В полицию я уже обратилась. Даже если я защищусь с помощью ваших рекомендаций, как я смогу вернуть деньги и доказать что при попытке их снятия я не получила ничего, а преступник перевел их куда-то ,куда я не знаю. В первоначальной распечате банка значится что дегьги зашли на счет. А после моей попытки их получить отсутствует запись что они вообще поступали. Я ничего не понимаю. В этом же месяце я обнаружила что некий сайт незаконно снимал несколько месяцев деньги моей кредитной картой. Я написала им ,что поскольку не пользовалась их услугами, требую возврата денег,полученных мошенническим путем. После этого пропали деньги с моего счета. Ясно ,что все кредитки нужно закрывать. Но что делать после обращения в полицию с моим смартом?

Все ответы на ваши вопросы будут в отдельной статье.

Знаю таков троян, есть много КРЕАТОРОВ таких троянов — на пример самый простой — Dark Comet.
Сам кстати пользуюсь такими креаторами, но ничего вредоносного не делаю, максимум просто по прикалываться.
И это интересно, ещё есть один креатор — называется LinkNet.
Вроде его один поц сделал, на ютубе видосы есть, написан на delphi.
У него ООООЧЕНЬ большой функционал.
Кому надо просто введите LinkNet — CSG Chanell. (Вроде так канал называется.)
Сама прога платная, вроде. Но в коментах под видео некоторые говорят что есть бесплатная версия проги, не знаю крч.

Удалить ратник проще некуда, нужно зайти в автозагрузку и удалить все неизвестные программы из автозагрузки или все, затем перезагрузить ПК также можно заглянуть в планировщик задач и посмотреть там некие странные задания и удалить их.

У DarkComet есть такая функция: Persistant Process и Persistent Startup. Когда ты попытаешься закрыть процесс, не выйдет. Когда попытаешься удалить из автозагрузки: не выйдет. Даже в безопасном режиме не прокатит! Никак! И что чайник будет делать? А если он хорошо закриптован, то его никак не найти! И антивирус его удалять не будет! И никакая программа не поможет, кроме переустановки Windows.

Под аббревиатурой RAT скрывается неприятное для любого пользователя обозначение трояна, и с его помощью хакер может удалённо получать доступ к компьютеру пользователя. Это первые три буквы от Remote Access Trojan – троянская программа удалённого доступа. Под это сокращение удачно вписывается и более нейтральное для уха любого пользователя Remote AdministrationTool – инструмент для удалённого администрирования системы. На самом деле это один из самых опасных представителей вирусов в интернете, который позволяет хакеру получить полный контроль над вашим компьютером, он же типичный троян. Используя троян RAT , хакер может установить кейлоггер или другое вредоносное программное обеспечение, естественно, удалённо. Может инфицировать файлы и много чего ещё натворить без вашего ведома. Рассмотрим проблему, так сказать, в разрезе.

Представление вы уже имеете, прочитав начало статьи. Вирус-троян, устанавливаемый удалённо, обычно с помощью подгружаемых ничего не подозревающим пользователем из сети рисунков, фотографий или других файлов. И надежду на антивирусную программу здесь особо возлагать не стоит. Немало таких троянов антивирусами не детектируется. Так что, если не уверены, не стоит загружать и открывать непонятно что скаченное и присланное по почте.

Для чего используется хакером и что с его помощью хакер может сделать?

С его помощью решается «обширный спектр задач», как то:

Инфицирование файлов
Установка кейлоггеров
Контроль за компьютером
Удалённое и независящее от вас включение камеры, запуск аудио и видео файлов
Использование компьютера как части бот-сети для нападения в виде DDoS-атаки на какой-то ресурс
Просмотр вашего монитора в данный момент времени

Типичные представители троян RAT

Это небезызвестные программы удалённого администрирования. Я назову официальные из них, которые при использовании дадут вам при желании представление о том, что с их помощью можно сделать. Это TeamViewer или Radmin. Их возможности прописаны документально. С некоторыми можно ознакомиться у меня на сайте. Установленные на вашем компьютере без вашего ведома, они могут причинить вам немало беспокойства.

Что, кроме вируса ” троян RAT ” можно встретить в рядах неприятеля?

Следующие программы не так известны, как их «официальные» соратники, но именно они наиболее часто встречаются в качестве инструмента хакера. Это программы ProRAT, CyberGate RAT и DarkComet-RAT (а вот что он умеет делать на компьютере) и другие типы троянских коней. Подробнее о каждой в соответствующих активных ссылках.

Что такое Trojan Rat как его обнаружить и удалить.

Jeeee

Местный

Что означает аббревиатура RAT?
RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.

На самом деле шпионская Для просмотра ссылки Войди или Зарегистрируйся программа RAT это один из наиболее опасных вредоносных программ, который дает возможность злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.

Как работает программа RAT?
RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. Всё. с этого момента компьютер жертвы под полным контролем злоумышленника.

Возможности трояна RAT

Следить за действиями пользовотеля
Запускать файлы
Отключать и останавливать сервисы Windows
Снимать и сохранять скрины рабочего стола
Запускать Веб-Камеру
Сканировать сеть
Скачивать и модифицировать файлы
И многое другое

Популярные RAT-программы

DarkComet Rat
CyberGate
ProRAT
Turkojan
Back Orifice
Cerberus Rat
Spy-Net

Какая самая лучшая программа RAT?
Лучший троян RAT на сегодня это DarkComet Rat

Как происходит заражение RAT-трояном?
Заражение вирусом RAT происходит почти также как другими вредоносными программами через:

Массовое заражение на варез и торрент сайтах.
Скрипты(эксплойты) на сайтах, которые без вашего ведома загружают RAT на ваш компьютер.
Стоит отметить что, в большинстве заражение RAT-трояном происходит не от массового а от целенаправленное заражение вашего компьютера друзьями или коллегами.

Кстати не всегда антивирусное по в силах предотвратить заражение, некоторые антивирусы попросту не детектируют вирус , так как сегодня уже никто не посылает просто трояна, сегодня его предварительно криптуют.
Как предотвратить заражение троянской программой RAT?

Не открывать не знакомые файлы, которые вы получаете по почте.
Пользоваться безопасными браузерами.
Качать и устанавливать программы только с сайта разработчика.
Не допускать физического контакта с компьютером посторонних людей.
Удалить антивирус и поставить хороший фаервол и хороший сниффер.

Как понять что у вас троянская программа RAT?
Понять что у вас на компьютере установлен РАТ очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:

Странная сетевая активность в фаерволе, в частности высокий исходящий трафик.
Комп начал тормозить или скорость интернета значительно просела.
У вас увели пароль от соц. сетей или почты.
Подозрительный трафик в снифере

Как вылечить заражённый трояном компьютер?
Обнаружить троян RAT довольно сложно. Можно скачать сканер Для просмотра ссылки Войди или Зарегистрируйся и просканировать компьютер.

Также, устанавливая взломанную Windows вы рискуете заразится вирусом уже на этапе установки.

Немного о RAT вирусах и о том, Как работать с DarkComet-RAT?

RAT – это у нас Крыса.. но в данном случае это аббревиатура троянского вируса, при помощи которого злоумышленник получает удалённый доступ к ПК какого-либо пользователя.

Википедия например пишет, точнее переводит такую аббревиатуру, как Remote Administration Tool, то есть инструмент для удалённого управления.. на самом же деле RAT расшифровывается как Remote access trojan, то бишь Троян-программа для удалённого доступа.

Программа DarkComet RAT (или же просто “Комета”). Эта программа и её функционал (в отличие от той же RMS – это не сколько вирус, сколько лицензионное ПО, которая является именно Remote Administration Tool) выступает самым настоящим трояном. RMS же был популярным так как он какое то время не определялся антивирусом, а также для него не нужно открывать порты.

RAT состоит из двух частей, из клиентской части и серверной. На ПК злоумышленника устанавливается именно клиентская часть, при помощи которой уже создаётся серверная часть. И вот эту серверную часть необходимо установить на ПК жертвы.
После установки происходит сопряжение после которого получается удалённый доступ.

У этого удалённого доступа нет никаких границ, однако в 2012 году проект DarkComet RAT был закрыт так как автор не стал нести ответственность за незаконное использование его программы. По его же словам эта программа должна выступать как Утилита, а не как Malware.

Вот таким образом выглядит интерфейс DarkComet-RAT:

Вкладка Users – это список жертв.
On connect – менеджер заданий.
Users log – собственно лог записей.
Socket / Net – прослушиваемые порты.

В ознакомительных целях.. Жертвой в данном случае будет выступать моя вторая виртуальная машина. Таким образом мы попробуем на практике сделать некоторые вещи.

Нажав на главную кнопку данной программы мы видим основное меню:

Listen to new port – Прослушиваемый Порт.
Client Settings – Настройки клиента. (Здесь мы можем найти всю основную информацию..)
– Выбрать функции, которые Вы хотите включить или выключить.
– Подключить FTP менеджер.
– Подключить no-ip аккаунт. (так как для программы нужен статический ip)
– Pushme уведомления.
– Есть Менеджер Групп.
– Блокнот с заданиями.
– Менеджер Базы Данных. (для просмотра паролей которые здесь вводились + keylogger)
– И далее идёт Отказ от ответственности и лицензионное соглашение.
– Поиск обновлений.
– Об авторе данного приложения. (где кстати сказано, что программа была написана на Delphi и Assembler).

Теперь посмотрим как же создаётся серверная часть, которая распространяется жертвам..

Server module -> Minimalist (Quick)

В основном меню серверной части отображается:
– Пароль для запуска.
– Настройка IP адреса и прослушиваемого порта.
– Добавление кометы в Автозапуск. (хотя галочку в данном случае лучше не ставить, злоумышленники обычное ставят, так как это слегка может выдать..)
– Модуль защиты
— Например можно скрыть в меню msconfig в разделе Автозагрузка данное приложение.
— Также есть стойкость процесса, чтобы через диспетчер задач его нельзя было убить / удалить. — Ну и конечно скрыть серверную часть под видом “explorer”.

! Выставим эти 4 галочки чтобы увидеть как это будет выглядеть.

— Также там есть меню Деактивировать диспетчер задач
— Деактивировать реестр
— Деактивировать Firewall (Работает от XP SP3 до Windows 7)
— И ниже там есть даже настройки от XP SP2 и ниже.

! Выставим первые 3 галочки чтобы увидеть как это будет выглядеть.

– Там также есть меню с Keylogger и FTP клиентом
– Host File (Это подмена сайтов, чтобы вместо ВК например открывался “фейк-ВК”)
– Меню для плагинов
– Меню для скрещивания серверной части с каким-либо другим файлом .bat
– Выбор иконки
– Выбор расширения “финиша”.

Нажимаем кнопку Build The Stub и таким образом начинаем запуск нашей склейки и в итоге посмотрим как будет выглядеть сам Вирус.

На рабочем столе (туда я его сохранил) у нас появился файл с расширением .exe . Антивирус кстати отключён.. и при активации у нас появляется.. удалённый доступ.. Что происходит мы узнать не можем так как диспетчер задач отключен.. в итоге остаётся только один вариант. загрузиться в безопасном режиме или попытаться его как-то удалить.

Точно такой же вирус запущен на моей виртуальной машине, посмотрим какие возможности у него открываются. Дважды кликаем на нашу Жертву, под видом которой выступает моя вторая вирт машина. и посмотрим какие забавные штуки можно делать..

Fun Functions:
– Fun Manager (в этом меню можно скрыть часы, скрыть панель управления и т.д.)
– Раздел Piano
– Вывести сообщение с любым текстом

Это самые безвредные функции программы..

А ведь есть ещё диспетчер задач, управление коммандной строкой, открытие и изменение реестра, Добавление скриптов, файловый менеджер. Удалённый доступ, Кейлоггер через который можно увидеть введённые пароли адреса и т.д. Так что, такое вот интересное вредоностное ПО.. Спасибо за прочтение.

Незамысловатый троян удаленного доступа Revenge бесплатно распространяется на форумах

Xakep #252. Чемоданчик хакера

Независимый исследователь, известный под псевдонимом Rui, решил изучить новый RAT (Remote Access Trojan) Revenge. Внимание исследователя привлек тот факт, что образчик малвари, загруженный на VirusTotal, показал результат 1/54, то есть практически не обнаруживался антивирусными продуктами. Выяснилось, что Revenge написан человеком, который известен под ником Napoleon, и распространяется совершенно бесплатно.

О трояне Rui случайно узнал из твиттера, где другой исследователь опубликовал ссылку на результаты проверки, произведенной VirusTotal, а также приложил ссылку на арабский форум Dev Point, на котором распространялась малварь. Rui заинтересовался вопросом, перешел на указанный в сообщении форум, где действительно обнаружил ссылку на сайт разработчика вредоноса, размещенный на платформе blogger.com. С сайта исследователь без проблем скачал архив, содержащий Revenge-RAT v.0.1.

Изучение трояна не представляло большой проблемы, так как его автор не озаботился даже базовой защитой и обфускацией кода. В этом свете не совсем ясно, почему сканеры VirusTotal не обнаруживали угрозу, но ответа на этот вопрос Rui пока найти не смог.

Первая версия малвари появилась на форумах Dev Point еще 28 июня 2016 года. Revenge написан на Visual Basic и, в сравнении с другими RAT, нельзя сказать, что вредонос обладает широкой функциональностью. Исследователь перечислил некоторые возможности малвари: Process Manager, Registry Editor, Remote Connections, Remote Shell, а также IP Tracker, который использует для обнаружения местоположения зараженной машины ресурс addgadgets.com. Фактически троян умеет работать кейлоггером, отслеживать жертву по IP-адресу, перехватывать данные из буфера, может составить список установленных программ, хостит файловый редактор, умеет редактировать список автозагрузки ОС, получает доступ к веб-камере жертвы и содержит дампер для паролей. Автор малвари, Napoleon, не скрывает, что его «продукт» находится в стадии разработки, и именно поэтому пока распространяется бесплатно.

Содержимое архива, скачанного Rui

«Такое чувство, что я зря потратил время, увидев этот результат 1/54 с VirusTotal, — подводит итог исследователь. — Автор [трояна] даже не попытался спрятать код хоть как-то, а архитектура слаба и банальна. Хорошо, что автор не пытается продавать свой RAT и, вероятно, только учится кодить. В любом случае, удивительно (или нет), что такие простейшие инструменты по-прежнему способны успешно скомпрометировать некоторые системы, что и демонстрирует нам видео на YouTube, размещенное автором [малвари]».

Результаты своих изысканий исследователь передал операторам VirusTotal, и теперь рейтинг обнаружения Revenge уже составляет 41/57. Так как некоторые известные антивирусы по-прежнему «не видят» трояна, Rui пишет, что «это просто демонстрирует, насколько ущербна вся антивирусная индустрия в целом».

//Хакерство (Крэкерство) #2.

Предупреждение! Всё ниже описанное я не призываю исполнять и повторять, а лишь рассказываю и обучаю, чтобы вы могли знать как собран механизм взлома/обмана/и т.п.

Предупреждение2! Некоторые ниже описанные программы детектятся антивирусами как Trojan/HackTool. Здесь присутствует логика антивирусов, т.к. фактически это программы для того же самого взлома. Я никого не хочу тут запичкать троянами и т.п. так что ваш выбор доверять мне или нет. Можете просто погуглить на счёт этих программ, посмотреть пару видео и т.д.

В данной статье зайдёт речь о создании вируса. Давайте сначала разберёмся что такое RAT. Это естественно вирус-троян, который запускается с помощью управления удалённого доступа. Если компьютер жертвы заражён данным вирусом, на нём могут происходить совершенно любые операции, которые захочет сам хакер. Крэкер может что угодно скрытно грузить на комп жертвы, например для использования как точки DDoS-атаки или просто использовать чужой комп как «лабораторную крысу» создавая или качая программы для уязвимой машины.

С понятием RAT’ника разобрались. Теперь начнём создание данного трояна.

Я оставлю ссылку на Яндекс.Диск (в конце статьи) через которую вы сможете скачать данные для билда вируса.

1) Начнём с папки «Отправка данных на почту». Вписываете свою почту на которую в дальнейшем будут приходить уведомления о подключении к жертве. Создайте новую почту для всего этого. Желательно создавать именно @mail.ru, т.к. с gmail, yandex и т.д. я не пробовал. Создастся файл «regedit.reg», сохраняем эту программу, она в будущем пригодится.

2) Открываем папку «Создание RMS». RMS- это сам удалённый доступ, но как понимаете это легальная программа требующая всегда подтверждение с обоих сторон для использования этой функции. Устанавливаете эти два файла.

3) Заходим в папку «Данные для создания вируса». Там будет 6 файлов, туда же кидаем наш «regedit.reg» файл.

Далее выделяете все 7 файлов и добавляете их в архив.

-Переименовываете (например 571.exe)

-Ставите метод сжатия: Максимальный

-Ставите галочку напротив: «создать SFX-архив

Дополнительно: Параметры SFX

-Выбираете путь для распаковки, например C:Program FilesGames

-Выполнить после распаковки: (прописываете в данном окне) install.vbs

-Ставите галочку напротив: «Скрыть всё»

-Ставите галочки напротив пунктов: «Извлечь и обновить файлы» и «Перезаписывать все файлы без запроса» (т.е. галочки напротив двух пунктов «2»)

Текст и графика(не обязательно, но для маскировки более-менее пойдёт):

-Загрузить значок SFX из файла: загружаете .ico файл.

Создастся файл 571.exe, который уже является полноценным RAT-вирусом.

Чтобы просмотреть активированный вирус на другой машине нужно в первую очередь получить ID, который будет отправлен вам на почту при включении данного RAT’ника. Далее заходим с созданную RMS и нажимаем «Добавить соединение». Имя пользователя вводить не нужно, а пароль от всех подключений будет «12345». Всё.

Запустив вирус 571.exe, в папке C:Program FilesGames появятся 7 файлов. Чтобы удалить эти файлы нужно будет отыскать в Диспетчере задач (Ctrl+Shift+Esc) 3 процесса: rfuclient.exe, rfuclient.exe *32, rutserv.exe *32. Далее отключить их и уже можно будет просто-напросто удалить распакованные файлы.

Нужные файлы для создания RAT’ника:

Надеюсь вам понравилось, в дальнейшем буду опубликовывать более интересные статьи по данной тематике.

Связаться со мной можно в ВК: https://vk.com/hydra571 .

Гляди ты, дело «Зверь-CD» все еще процветает, не перевелись школьники-хакеры на Руси.

это все на компе жертвы делать надо?)

Автор вымогателя GandCrab атаковал ИБ-специалистов, создавших «вакцину» против его малвари

В середине июля 2018 года южнокорейские ИБ-специалисты из компании AhnLab создали «вакцину», защищающую от шифровальщика GandCrab версии 4.1.2. Исследователи обнаружили, что предотвратить срабатывание шифровальщика можно очень простым способом: достаточно лишь создать специальные файлы вида [шестнадцатеричная_последовательность].lock в директориях C:Documents and SettingsAll UsersApplication Data (для Windows XP) или C:ProgramData (для Windows 7, 8 и 10).

Наличие этих файлов в системе позволяло обмануть малварь, заставив GandCrab считать, что этот компьютер уже был заражен ранее.

Журналисты Bleeping Computer сообщают, что в ответ на это разработчик GandCrab решил объявить исследователям войну. Вирусописатель, скрывающийся под псевдонимом Crabs, вышел на связь с изданием и заявил, что обнаруженный аналитиками AhnLab способ защиты был актуален лишь на протяжении пары часов, после чего была выпущена новая версия шифровальщика. Хуже того, Crabs сообщил, что нашел баг в антивирусе AhnLab v3 Lite и намерен его использовать.

«Мой эксплоит станет пятном на репутации AhnLab, которое запомнят на долгие годы», — писал Crabs, предоставив журналистам ссылку на свой эксплоит.

Журналисты Bleeping Computer не собирались придавать это огласке, пока инженеры AhnLab не проверят разработку вирусописателя и, если потребуется, не выпустят патч. Однако в конце прошлой недели эксперт Malwarebytes публично сообщил об обнаружении новых версий GandCrab (4.2.1 и 4.3), в коде которых был замечен тот самый эксплоит для продукции AhnLab (с комментарием «привет AhnLab, счет — 1:1″).

После этого выяснилось, что эксплоит Crabs работает не совсем так, как было задумано. Сразу несколько ИБ-специалистов изучили проблему и пришли к однозначному заключению, что баг, который пытается эксплуатировать преступник, – это отказ в обслуживании (DOS). Из-за него может «падать» один из компонентов антивируса AhnLab, а в отдельных случаях и вся операционная система.

Но один из директоров AhnLab объяснил изданию, что код, интегрированный в GandCrab 4.2.1 и 4.3, выполняется уже после исполнения самой малвари и заражения нормальных файлов. То есть антивирус AhnLab обнаруживает и нейтрализует малварь задолго до того, как та попытается воспользоваться DOS-эксплоитом. В итоге шансы на успешное срабатывание эксплоита крайне малы. При этом разработчики подчеркивают, что Crabs не обнаружил какой-то страшный 0-day баг, и вряд ли его способ позволяет исполнить какой-либо дополнительный пейлоад.

Также инженеры AhnLab сообщают, что исправить проблему, обнаруженную Crabs, совсем нетрудно, и патч выйдет в ближайшие недели. С релизом «заплатки» авторы антивируса планируют устранить некую фундаментальную недоработку, делающую такие атаки возможными в принципе.

Интересно, что еще весной текущего года исследователи Bitdefender выпустили бесплатный инструмент для расшифровки файлов, пострадавших от атак всех актуальных на тот момент версий шифровальщика GandCrab. Тогда же румынская полиция сообщила об аресте подозреваемых в распространении вредоносного спама. Но после этого Crabs не попытался пойти войной на компанию Bitdefender. Когда журналисты поинтересовались у него почему, он не ответил, лишь заметил, что это была «хорошая работа».

Обнаружен троян для Android ворующий данные из Facebook Messenger, Skype, Telegram, Twitter.

Аналитики Trustlook Labs обнаружили трояна для Android, который похищает данные из популярных мобильных мессенджеров, включая Facebook Messenger, Skype, Telegram, Twitter и так далее.

В своем отчете исследователи не упоминают о способах распространения новой малвари. Но учитывая тот факт, что изученное вредоносное приложение носит название «Облачный модуль» (Cloud Module) на китайском языке, а в Поднебесной не работает Google Play Store, можно предположить, что троян распространяется через сторонние каталоги приложений, сайты и форумы.

Изучение вредоноса показало, что он весьма прост, но при этом и эффективен. Так, после установки вредоносного приложения, троян сначала пытается внести изменения в файл /system/etc/install-recovery.sh. Если операция проходит успешно, это гарантирует малвари устойчивое присутствие в системе и запуск после каждой перезагрузки.

Закрепившись в системе, «Облачный модуль» принимается извлекать данные из популярных мессенджеров, среди которых:

Tencent WeChat;
Weibo;
Voxer Walkie Talkie Messenger;
Telegram Messenger;
Gruveo Magic Call;
Twitter;
Line;
Coco;
BeeTalk;
TalkBox Voice Messenger;
Viber;
Momo;
Facebook Messenger;

Хотя воровство информации из IM – это единственная функциональность этого, казалось бы, простого трояна (что уже достаточно необычно), специалисты отмечают, что Cloud Module применяет весьма серьезные техники «маскировки» и старается затруднить работу ИБ-специалистов. К примеру, троян уклоняется от динамического анализа кода, используя антиэмулятор и обнаруживая дебаггеры. Кроме того, разработчики малвари предприняли попытку обезопасить свой код посредством шифрования и задействовали XOR.

Новый RAT использует протокол Telegram для кражи данных жертв

На портале GitHub был опубликован исходный код нового трояна для удаленного доступа (RAT), использующего протокол Telegram для хищения информации с инфицированных устройств.

Как утверждает разработчик инструмента, основная проблема большинства существующих на сегодняшний день RAT заключается в том, что они не используют шифрование и их операторы вынуждены настраивать переадресацию портов на устройстве жертвы для управления инфицированным компьютером. Вирусописатель решил исправить это упущение и представил собственный инструмент под названием RATAttack, который устанавливает зашифрованный канал между оператором и жертвой, используя протокол Telegram.

Прежде, чем начинать атаку, владелец RATAttack должен создать бот Telegram и встроить его токен (ключ) в конфигурационный файл трояна. Таким образом все инфицированные устройства будут подключаться к каналу бота и атакующий получит возможность отправлять простые команды для управления RATAttack на зараженном компьютере.

Троян может действовать в качестве кейлоггера, собирать данные об установленной версии ОС Windows, процессоре и т.д., IP-адресе и приблизительном местоположении хоста, отображать сообщения, загружать и выгружать различные файлы, делать скриншоты, исполнять любые файлы на целевом компьютере, делать снимки с web-камеры, копировать, перемещать и удалять файлы, а также запускать процесс самоуничтожения.

RATAttack написан на Python 2.x, в будущем его разработчик обещает выпустить версию на Python 3.x. Что интересно, автор RATAttack называет свое детище «инструментом для удаленного управления компьютером», хотя его разработка включает ряд вредоносных функций, не присущих легитимным инструментам наподобие Teamviewer и пр.

По данным ресурса BleepingComputer, разработчик RATAttack не рекламировал троян на каких-либо хакерских форумах и опубликовал код только на GitHub. В настоящее время он уже удален с портала.

Источник: softaltair.ru

Миграция и закон