Как найти ратник в файле

• #1

антивирусник виндоус жалуется на какой то файл backdoor, но система не нагружается .
есть такой ратник который не нагружает систему и дает доступ к пк?

• #2

Ратник это не майнер

А так сноси винду

• #3

Скачай Malwarebytes и просканируй систему. Зависит от RAT, скорее да, чем нет.

• #4

Скачай Malwarebytes и просканируй систему. Зависит от RAT, скорее да, чем нет.

Рат то он может найдет — но лоадер врядли

• #5

скинь файл, на который жалуется ав

Рат то он может найдет — но лоадер врядли

лоадер тоже найдет, лол, молвер с помощью ии проги сканит, он даже в плагине в сампе найдет лоадер, ну если там нет протектора и сертификата

• #7

Файл а не скрин антивируса

• #8

Файл а не скрин антивируса

а как я тебе пойму какой файл это

• #9

а как я тебе пойму какой файл это

Подробнее нажми

• #10

а как я тебе пойму какой файл это

не еби мозги крч, malwarebytes скачай и скань систему либо снести винду

• #13

Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.

более быстрый способ убрать с пк любой вирус который попадает в startup, это ccleaner.

скачиваешь отсюда free версию: https://www.ccleaner.com/ru-ru/ccleaner/download

устанавливаешь, и запускаешь его. откроется вот такое окно:

нажимаешь инструменты -> запуск. и в итоге ты видишь что-то подобное:

далее нажимаешь по нему левой кнопкой мыши, и нажимаешь «отключить». после этого, тебе нужно уничтожить процесс вируса, это можно сделать через process hacker: https://processhacker.sourceforge.io/downloads.php

после установки процесс хакера, открываешь его, и ищешь подозрительный процесс:

левой кнопкой мыши по нему и terminate:

после этого, заходишь обратно в ccleaner -> инструменты -> запуск
опять левой кнопкой мыши по подозрительному файлу -> открыть в папке
и удаляешь вирус. p.s. перед тем как удалить вирус, советую проверить не ярлык ли это, если это ярлык, левой кнопкой мыши по нему, и перейти в расположение файла, и там всё удаляешь. если не удаляется, значит какие-то процессы вируса живы, аналогично ищешь их в process hacker’е и терминейтишь их и пробуешь опять удалить.

но учитывай что твои данные пк, пароли и т.д. были спизжены. перед тем как удалять такой вид вирусов(ратников), советую отключить интернет кабель от устройства, или-же если устройство работает через wifi — роутер.

• #14

Привет.

Во-первых, нужно понимать значение что такое ратник, а что такое майнер, и важно понимать какой из них как работает.

Посмотреть вложение 199613
Посмотреть вложение 199614

Во-вторых, стоит учитывать что Windows защитник (да и вообще любой другой антивирусник) может ошибаться. То есть, все зависит от того, что ты скачивал/устанавливал ранее. Просто вспомни это, посмотри список загрузок. Может ты скачал какую-то программу с торрента, убедись, что если это точно не вирус, а ложное срабатывание.

В третьих, если все таки не получились пункты выше, то попробуй удалить этот ратник/майнер, просканировать систему дополнительными утилитами, например Dr.Web Cureit, Malwarebytes. А лучше всего будет переустановить систему если у тебя имеется на ней что-то критично важное.

Malwarebytes не утилита и как у него антивирус винды может ошибаться, если он задетектил именно dcrat?

• #15

Malwarebytes не утилита и как у него антивирус винды может ошибаться, если он задетектил именно dcrat?

Привет.

Антивирусы могут ошибаться и ложно срабатывать в любом случае. Антивирус не спасёт тебя, это лишь инструмент который помогает тебе, а не защищает тебя полностью от вирусов, что можно отключить мозги и не о чём не думать.

P.S: В любом случае, если не согласен с моим решением, можешь предложить своё.

Вопрос Как узнать есть ли ратник на пк?

Domenic Azplicueta

Новичок

FBI13

Известный

пневмокот

Активный

пиздец у челика проблема, его взломали, он пришел сюда за помощью а вы взяли и насрали в тему, что за люди, а?

короче совет автору темы: если ты слабо шаришь в винде, то самый простой способ очиститься от вирусов это переустановить виндовс и поставить какой-нибудь антивирус (если вин10 то не надо, в нём встроенный антивирус). Естественно при этом на новый винде не надо запускать старые файлы без их предварительной проверки

sobea0tiful

Участник

Самый верный способ снос винды, про ратники на материнскую плату это уже врятли, снеси винду и качай всё оффициального сайта старые файлы лучше не запускай, даже после тщательной проверки.

Еще слово про ратник на материнскую плату, это уже какой то бред как они могут залезть в биос, ратник видит только файлы компа залезть в каким то образом в биос/материнскую плату это уже бред.

Domenic Azplicueta

Новичок

Самый верный способ снос винды, про ратники на материнскую плату это уже врятли, снеси винду и качай всё оффициального сайта старые файлы лучше не запускай, даже после тщательной проверки.

Еще слово про ратник на материнскую плату, это уже какой то бред как они могут залезть в биос, ратник видит только файлы компа залезть в каким то образом в биос/материнскую плату это уже бред.

naKeT

Известный

Отключаешься от интернета, мониторишь процессы. Есть ещё dark comet remover на happy-hack’e она есть. Если уже ничего не найдешь, тебе давали совет по переустановки винды. Остальное маловероятно что поможет, если только утилитами из под dos

Участник

sobea0tiful

Участник

Я заблокировал удаленный доступ к пк. Данные могут воровать?

Отключи интернет и все приложения, смотри процессы какой то не веданный процесс тогда уже смотришь путь к нему или гуглишь с телефона.
Так же попробуй включить пк и перезапустить его с зажатым shift.

«Удерживать нажатой клавишу Shift при нажатии на Перезагрузка»

Если у тебя не запускается восстановления с включенного ПК, то значит заблокали доступ с вируса.

Так же Винда могла сама создать восстановления файлов, хотя врятли так ратник удаляется, лучше всего сноси винду:)

Источник

Что такое RAT? Всё про шпионские RAT-трояны

RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.

На самом деле шпионская программа RAT это один из наиболее опасных вредоносных программ, который позволяет злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.

Как работает программа RAT?

RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. Всё. с этого момента компьютер жертвы под полным контролем злоумышленника.

Возможности трояна RAT

Популярные RAT-программы

Какая самая лучшая программа RAT?
Лучший троян RAT на сегодня это DarkComet Rat(на хаЦкерском жаргоне просто Камета)

Как происходит заражение RAT-трояном?

Заражение вирусом RAT происходит почти также как другими вредоносными программами через:

Кстати не всегда антивирусное по в силах предотвратить заражение, некоторые антивирусы попросту не детектируют вредонос, так как сегодня уже никто не посылает просто трояна, сегодня его предварительно криптуют(что такое крипт и как это делают мы расскажем в другой статье).

Как предотвратить заражение троянской программой RAT?

Как понять что у вас троянская программа RAT?

Понять что у вас на компьютере установлен РАТ очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:

Как вылечить заражённый трояном компьютер?

Обнаружить троян RAT довольно сложно. Можно скачать бесплатные антивирусы с обновлёнными базами, к примеру отличный на мой взгляд сканер AVZ и просканировать компьютер. На самом деле если вы мало разбираетесь в компьютерах легче не искать иголку в стоге, а предварительно сохранив важные документы отформатировать комп и установить Windows заново.

Кстати устанавливая взломанную Windows вы рискуете заразится вирусом уже на этапе установки. Так как некоторые левые сборки которые раздаются в сети имеют уже вшитые закладки, шпионы, вирусы, скрытые радмины, рмсы и другую красоту. Я знал одного компьютерного мастера который само того не зная устанавливал на машины клиентов левую сборку Windows, знаменитую протрояненную ZverCD.

Похожие статьи

Флешка Kali Linux с возможностью сохранения Persistence

Поиск открытых баз данных с помощью поисковиков

Способы взлома банковских карт

10 комментариев

Возможности трояна пункт «Прикалываться над чайниками» повеселил ))

да без крипта не прокатит, антивир пропалит сразу.
а крипт денег стоит

крипт бесплатен был, бесплатный есть и бесплатным будет.

хорошая статья но автор забыл написать ещё про рат PI

Все ответы на ваши вопросы будут в отдельной статье.

Знаю таков троян, есть много КРЕАТОРОВ таких троянов — на пример самый простой — Dark Comet.
Сам кстати пользуюсь такими креаторами, но ничего вредоносного не делаю, максимум просто по прикалываться.
И это интересно, ещё есть один креатор — называется LinkNet.
Вроде его один поц сделал, на ютубе видосы есть, написан на delphi.
У него ООООЧЕНЬ большой функционал.
Кому надо просто введите LinkNet — CSG Chanell. (Вроде так канал называется.)
Сама прога платная, вроде. Но в коментах под видео некоторые говорят что есть бесплатная версия проги, не знаю крч.

Удалить ратник проще некуда, нужно зайти в автозагрузку и удалить все неизвестные программы из автозагрузки или все, затем перезагрузить ПК также можно заглянуть в планировщик задач и посмотреть там некие странные задания и удалить их.

У DarkComet есть такая функция: Persistant Process и Persistent Startup. Когда ты попытаешься закрыть процесс, не выйдет. Когда попытаешься удалить из автозагрузки: не выйдет. Даже в безопасном режиме не прокатит! Никак! И что чайник будет делать? А если он хорошо закриптован, то его никак не найти! И антивирус его удалять не будет! И никакая программа не поможет, кроме переустановки Windows.

Источник

Как пользоваться NjRAT? Приколы вируса удаленного доступа

Zip File, мамкины хацкеры. Сегодня мы наконец-то поговорим про ратники. Рассмотрим их основные функции, нюансы открытия портов, варианты решения проблемы с DynDNS и прочие вещи, которые так волнуют начинающих злоумышленников. Оговорочка по Фрейду. Конечно, же безопасников, а не злоумышленников. Ведь именно специалистам, отвечающим за защиту, приходится выявлять крыс на компьютерах в своих больших и малых конторах.

Для тех, кто не в теме, проведу краткий экскурс в историю. Ратники, они же Remote Access Trojan (трояны удаленного доступа) или попросту крысы, применяются хацкерами для получения доступа к ресурсам компьютера. По сути, это вирусные утилиты, разработанные по образу и подобию админских программ для обслуживания по удалёнке. Таких, как RAdmin, TeamViewer, TightVNC и прочие известные всем нам ремотки.

Однако принцип внедрения у ратников несколько отличается от вышеперечисленного софта. Для того, чтобы установить тот же RAdmin, вам, как минимум нужно побывать за компьютером пользователя 1 раз. Либо обладать правами на установку прог по сети. TeamViewer при первом запуске также выдаст рандомный пароль с уникальным ID, а для дальнейшего подключения без участия пользователя потребуется войти под своей учеткой.

В любом случае, ваш доступ к машине будет так или иначе санкционирован. Ратники же, имея под капотом вирусный бэкграунд, требуют от юзверя лишь запустить их единожды. После этого информация о соответствующем ПК отлетит прямиком к злоумышленнику, который в свою очередь сможет распорядиться полученным доступом по своему усмотрению.

Вот и образовалось, что называется свободная касса для всех любителей поживиться чужими данными. На форумах в дарке, эту тему форсят ещё с апреля и на сегодняшний день ситуация мало чем изменилась. Разве что ратников стало больше, чем раньше и продавать их стали за бабки. Причём функционал у них у всех плюс-минус одинаковый, а отличаются они лишь графической оболочкой.

В данном уроке, я продемонстрирую вам наиболее популярный ратник NjRAT. Он имеет самое большое количество скачиваний на гитхабе, поэтому очень надеюсь, что комментариев типа «ааа вирус нам скидываешь» не будет. Ведь я не заливаю данный ратник в телегу, а показываю, где его может скачать потенциальный злоумышленник и каким образом использовать для своих целей. Если интересно, устраивайтесь по удобней и приступим к созданию крыски. Погнали.

Шаг 1. Заходим на гитхаб и загружаем архив с NjRAT’ом.

Шаг 2. Распаковываем Zip File и внутри созданного каталога ищем папочку Moded, а в ней файл ратника.

Шаг 3. Запускаем его и прописываем порт, который нам нужно будет открыть на роутере. Надеюсь, что не нужно объяснять то, что он же, должен быть добавлен в исключения вашего брандмауэра. Хотя лично я, всегда вырубаю последний, дабы не выносить себе, и без того утомлённый мозг, этим вопросом. А по поводу проброса портов, у меня на канале есть чудеснейший видос про RDP. Там суть один в один, поэтому растягивать данный ролик по времени разжёвываю эту тему, я тут не буду. Кто не шарит, переходите и смотрите по ссылке в подсказке.

Шаг 4. Ну а мы жмём Start и попадаем в основное окно программы. Тут нас интересует только одна кнопка – «Builder». После нажатия на неё, запускается меню конфигурирования EXE’шки клиента, которая, по сути, и является вирусом. Давайте настроим всё по порядку. В пункте Hostзадаём наш белый IP’шник. Я миллион раз повторял в своих видео, что если вы хотите заниматься изучением администрирования или безопасности на постоянной основе, то обзавестись белым IPу провайдера нужно в обязательном порядке. Далее у нас порт, открываемый на роутере. Чуть ниже имя жертвы. Маскировка под определённый процесс. Обычно злоумышленники маскируют ратник под какую-нибудь системную службу, аля служба печати или диспетчер задач. Ну а справа у нас дополнительные параметры вируса. BSODпри попытке закрытия, копирование в автозагрузку, запись в реестре, распространение по USB в случае подключения носителя к ПК и прочие прелести. В более продвинутых ратниках ещё встречается функция изменения иконки, FUD-крипт и т.д. Ниже размер логов. Пусть будет 512. В принципе, всё. Кликаем «Build» для создания файла.

Шаг 5. Указываем имя и месторасположения. Я назову RAT, однако ясен-красен, что для распространения такое имя уж точно не годится и вы никогда не встретите подобную EXE’шку в чистом виде. По поводу максировки вирусов в меня на канале также есть пару занятных роликов. Ссылка на один из них непременно всплывёт в подсказке.

Шаг 6. Окей. Запускаем файл на компьютере жертвы.

Шаг 7. И вернувшись на свой ПК проверяем статус подключения. Комп подключился, а значит наш вирус уже в системе, и мы можем начинать кошмарить её по полной программе. Для этого достаточно вызвать контекстное меню функций и выбрать наиболее подходящий нам вариант.

Шаг 8. Давайте рассмотрим всё по порядку. Первый пункт Manager предоставляет нам доступ к файлам на дисках, открывает менеджер процессов, в котором мы можем выключить ту или иную задачу, а также посмотреть текущие соединения и поковыряться в регистре.

Шаг 9. Функция «Run File» позволяет запустить любой файл с диска или по внешней ссылке. Давайте я для примера продемонстрирую жертве пикчу носков.

Шаг 10. Указываем путь к картинке. И затем проверяем результат на клиенте.

Шаг 11. Всё отрабатывает. Теперь давайте затестим удалённый рабочий стол. Подключившись с его помощью можно не только смотреть за происходящим, но также, как и в любой популярной удалёнке управлять мышкой, клавой и делать скриншоты.

Шаг 12. Про вебку и микрофон думаю объяснять не нужно. Это, пожалуй, одни из самых полезных функций для злоумышленников, живущих за счёт продажи компромата в даркнете.

Шаг 13. Хотя, как по мне, большинству хацкеров ничуть не меньше зайдёт функция «Get Passwords». Она вытаскивает все сохранённые пассы из браузеров. Т.к. у меня это виртуалка, соответственно тут данный список девственен и чист.

Шаг 14. Далее по списку у нас старый добрый кейлоггер. Он перехватывает все нажатия клавиш пользователя. От набивки текста унылейшей курсовой, до пароля в vk.

Шаг 15. А затем сейвит их в отдельный RTF’овский файл, который складывается в папку пользователя, рядом с TXT’шкой пассвордов.

Шаг 16. Ну и самое весёлое – это, конечно же, чат с жертвой. Вы можете пообщаться с беднягой, пообещав удалить троянчик с компьютера за пару сотен пиастров.

Шаг 17. И в случае удачной сделки, даже сдержать своё слово, мочканув вредонос удалённо.

И вроде бы, с первого взгляда, всё круто, однако, не стоит забывать о подводных камнях. Во-первых, для того, чтобы всё завелось, на компьютере жертвы должен быть либо отключён автивирус. Либо ваш EXE-файл должен быть прокриптован. Во-вторых, на сегодняшний день, львиная доля членов нашего братства, жидится потратить сотку на белый IP и тем самым добавляет себе гемороя с пробросом портов.

Да, чисто теоретически можно попробовать воспользоваться популярным сторонним сервисом No-IP и с помощью технологии DynDNS забацать себе псевдо-белку. Также у некоторых именитых сетевых вендеров есть свои собственные, бесплатные сервисы для этой истории. Например, у тех же ASUS данная фича прекрасно работает из коробки. Однако, никакой дин вам не поможет, если ваш гавно-провайдер по экономическим соображениям экономит пул, и посадив клиентов за NAT, раздаёт, что называется «many to one».

В этом случае, вам поможет только белый IP или VPN. Либо, если у вас есть собственный Web-сайт, можно попробовать поизголяться с online-ратниками. Они хоть и менее функциональны, зато не требуют открытия портов. Следующий ролик у нас, как раз, будет по этой теме. Так что, если ты, друг мой, впервые забрёл на канал и ещё не оформил подписку, сейчас самое время. Клацай на колокол и в твоей ленте будут регулярно появляться годнейшие видосы по вирусологии, этичному хакингу и пентестингу.

С олдов жду лайки и конечно же комментарии по поводу того, какие ратники вы используете в своих обучающих целях. На сегодняшний день их развелось просто офигеть, как много, поэтому давайте посредством народного голосования выберем лучший. Хотя я почти на 100% уверен, что лидером окажется Putin RAT, но всё же давайте ради приличия немножко поиграем в иллюзию демократии. Напоследок, традиционно, желаю всем удачи, успеха и самое главное, безопасной работы.

Берегите себя и свои тачки. Не допускайте крыс в свою ОСь. Самый лучший способ для этого раз и навсегда перейти на Linux и больше никогда не вспоминать об EXE-файлах. Ну а с вами, как обычно, был Денчик. Искренне благодарю за просмотр. До новых встреч, камрады. Всем пока.

Источник

Как Защититься От Взлома Хакеров Как обезопасить себя от трояна DarkComet RAT Remover

Это касается ОС x32 которые не обновлялись в центре обновления Windows и поэтому имеют дыры, за 3 года ремонта и настраивания ОС было много замечено и обезврежено таких троянов!

ССЫЛКИ НА ИСТОЧНИКИ, ПРОГУ И ФОРУМЫ Я УДАЛИЛ ПО ПРОСЬБЕ МОДЕРАТОРА И В СВЯЗИ С МИНУСАМИ, КОМУ БУДЕТ ИНТЕРЕСНА ДАННАЯ ТЕМУ ОТПИШУ В КОММЕНТАХ, ЗАРАНЕЕ СПАСИБО ЗА ПОНИМАНИЕ)

Q: Что такое DarkComet?

A: Дарк Комет(в народе просто комета) это ратник, то есть вирус который позволяет управлять вашим компьютером: манипулировать файлами, просматривать ваш рабочий стол и т.д.:

Q: Но у меня же стоит антивирус лицензионный, как я могу заразится?

A: Легко! Если вирус закриптован(почитайте в гугле, что такое крипторы), то он не будет идентифицирован антивирусом, как вирус, а если это еще приват криптор, то вы можете никогда не узнать, что на вашем компьютере завелся вирус. Так что, в этой ситуации антивирус бесполезен.

Часто бывает что мы заражаемся этом вирусом и многие не понимают как удалить.

И теперь я сделал обзор на программу DarkComet Remover, для удаления этого вируса

Дубликаты не найдены

Remote Administration Tool или Remote Access Trojan

вы о какой рекламе говорите! мне на эти сайты плевать я аргументы показывал

я вас понял на будущее

все я отредактировал) ссылок нету

спасибо большое за советы! вот у меня есть собственный ютуб канал где я пилю видео все что связанно с ПК и ремонтом, подскажите на данном ресурсе возможно как то и пост делать и заодно делится этими видео?

САМО ВИДЕО ОПУБЛИКОВАТЬ И ВСЕ? отредактировал пост и удалил все ссылки! данная соц сеть мне начинает нравится

ну и что именно тебе не понравилось?

а щас ссылки убрать можно?

я конечно все понимаю, но почему тут народ так агрессивно настроен! только одни минусы ставят, я пока нуб в этой платформе но разве я запостил плохой контент?

Я вот сейчас зашел и 0 полезной информации узнал. Даже не нашел ответа на вопрос в заголовке

он и на 64, но 32 битные самые поверженные нападению, бывало и сам игрался но щас на это табу так как могут и посадить

Спс, а по поводу, не играюсь, да хакеров вообще не существует) слухи все это

хакеры это громкое слово согласен, а вот по поводу поста так это реальность приходилось уже сталкиваться с такими вещами, вот есть файлообменники после скачки с которых устанавливается вместе с прогой которую качали эти дарккометы и вуаля ваш пк их и антивирус даже не сработает(

Многие спрашивают: зачем ты тягаешь такие веса? Вот вам ответ©

Помощь слонику

Ответ на пост «Грибы ценою в жизнь»

Купите родственнику-грибнику, пенсионеру особенно, GPS-возвращатель. Стоит недорого (в среднем 2к), в использовании элементарен. Показывает направление и расстояние до сохраненной точки(входа в лес), имеет память на несколько точек. В паре с компасом точно спасет (соотнести направление на возвращателе с азимутом на компасе, идти по компасу если сядет батарейка).

[Пост удалён]

[Содержание поста было удалено]

Комментарий администрации Пикабу.

Здравствуйте. Здесь находился пост, автор которого утверждал, что интернет-магазин Озон списал у него полмиллиона рублей без ведома владельца карт. Несмотря на то, что пост содержал весьма сомнительные пруфы (фактически их не было, кроме факта списания денежных средств), он был составлен очень грамотно, включал в себя множество упоминаний площадки для лучшей индексации в поисковиках и хорошо давил на эмоции.

Поэтому мы просим пользователей более критично относиться к тому, что пишут авторы постов. Ведь во многом из-за недобросовестных пользователей мы с вами оказываемся в ситуациях, где мы для отмены услуги или возврата денег вынуждены доказывать, что обычные пользователи не пытаются обмануть систему, а действительно потеряли деньги.

Ну и это, берегите себя и своих близких. И да, старый аккаунт блокирован за мультиакк, автора текущего поста мы ждём в комментариях, если ему есть что добавить.

Источник

Автор темы

• #1

Сразу говорю, что нигде ничего не читал, тема ни от куда не спащена и я не знаю есть ли на форуме подобные темы. В моем случае ратник njRAT. Приятного чтения.

1. Проверим систему на наличие RAT:

а)

Первое, что нужно сделать это зайти в msconfig и чекнуть есть ли там подозрительные элементы. На моем скрине они есть, и я их подчеркнул.

Если такие элементы с рандомным названием есть, то ваша система заражена.

б)

Далее заходим в диспетчер задач и ищем подозрительные процессы. В моем случае этот процесс называется так, будто ничем не отличается от других, однако, это ратник. Нужно проверить расположение каждого файла и если это системный файл, то посмотреть что он делает и для чего он.

В моем случае файл называется deadsec.exe. Повторю, файл может называться как угодно.

2. Перейдем к удалению:

Если мы попытаемся завершить процесс deadsec.exe, то работа пк нарушится и будет блускрин. Этот файл просто нужно удалить.

Чтобы его удалить нам просто нужно зайти в безопасный режим и удалить его там, тк элементы автозагрузки там не загружаются, соответственно мы сможем его удалить.

Если будут такие люди, которые не знают как зайти в безопасный режим, я допишу в теме как зайти в безопасный режим на w7 и 10.

Ну а на этом все.

Последнее редактирование: 16 Ноя 2017

Пользователь

• #2

Ты написал как все и делают. Ты бы написал ещё что диспетчер задач на ктрл шифт Эск открывается…

Автор темы

• #3

Ты написал как все и делают. Ты бы написал ещё что диспетчер задач на ктрл шифт Эск открывается…

написал для тех, кто этого не знает. Просто для интереса чекал туторы как удалить ратник, там как то все сложно объясняют.

Пользователь

• #4

Сразу говорю, что нигде ничего не читал, тема ни от куда не спащена и я не знаю есть ли на форуме подобные темы

Рофл.

Автор темы

• #5

я имел в виду, что не пастил тему ниоткуда. Че ты доебался до меня?

Введение
Давай начнем все с того, что не так давно большинство вирусов стали выкладывать в открытый доступ. Некоторые ратники можно спокойно скачать с GitHub репозиториев и использовать в своих целях. Сейчас аббревиатура RAT переводится как утилита удаленного доступа. Обычно с такой расшифровкой можно встретить очередные исходники зловреда. Но есть и темная сторона перевода, а именно троян удаленного доступа, где главное слово это «троян». В этой статье я предлагаю разобраться с тем, чем все таки отличается вирус от утилиты удаленного администрирования.

План статьи
Чтобы было понятнее и нагляднее предлагаю разработать план. Для начала возьмем 4 образца ратников. Трое из низ находятся в открытом доступе и один был создан специальной компанией в коммерческих целях. Как ты мог догадаться из заголовка мы будем сравнивать все это дело с NjRat. Чтобы не было так скучно я взял версию 0.7D Danger Edition. О других модификациях расскажу подробно в следующих статьях. А теперь давай познакомимся со списком кандидатов:

1. AsyncRAT (v0.5.7B)
2. Proton RAT (v1.0.0.6)
3. Quasar (v1.4.0)
4. Venom (v2.1.0.0)

За исключением последнего все программы находятся в открытом доступе и их репозитории можно найти на Github. Главная наша цель это выявить недостатки и преимущества перед давно известным NjRat. Его модификации долгое время распространялись за символичную сумму, а сейчас спокойно лежат в открытом доступе.

Критерии оценивания
Здесь я решил оставить критерии, которых мы будем придерживаться при сравнении. Их не так много, поэтому запоминать наизусть не придется.

1. Многофункциональность: под этим словом подразумевается наличие тех или иных полезных функций. Снимок экрана, встроенный кейлогер и многое другое.
2. Скрытность: пропустить такой параметр крайне невозможно. Как же тестировать вирус без антивирусов? Дадим им на растерзание наши творения и посмотрим, что они скажут. По стандарту пользуемся

   Ссылка скрыта от гостей

   .

3. Объем исполняемых файлов: поставим готовый PE-файл на весы и посмотрим насколько он толстый. Ведь в нашем деле важен каждый мегабайт!
4. Нагрузка на систему: что может быть хуже чем беспрерывное жужжание системы от неизвестного файла. Пользователь явно будет недоволен если обнаружит в диспетчере задач новый Chrome, поедающий всю оперативу.
5. Встроенная защита: мьютексы, крипторы и антидебаггеры. Чем только не наполняют современные билдеры. Посмотрим на что они способы. По крайней мере их наличие мы проверим точно.
6. Разное: для канона обратим внимание на интерфейс, качество программы сервера и на другие мелочи, от которых перфекционисты могут ослепнуть.

Такой небольшой список поможет нам в работе и станет главным моментом, к которому лично я не раз буду обращаться. Все что нужно разобрали, можем приступать (ссылки на репозитории оставлю при сравнении).

Лидер шоу NjRat

• Страница автора: GitHub

Ты думал я забыл напомнить против кого идет борьба? Твоему вниманию в который раз представляю NjRat Danger Edition. Сейчас мы пробежимся по его особенностям, детально рассмотрим работу и закрепим в нашей статье, чтобы сравнивать остальные ратники с этим зверем.

Многофункциональность: здесь много слов не надо. Половина функций заблокирована, а остальная часть приравнивается к типичному арсеналу ратника. В наличие имеется антипроцессор, запись в меню автозапуска, детект определенных процессов (к примеру антивируса). Как всегда можно увидеть любимый timesleep, чтобы не вызывать много лишнего внимания. Копирования во временные директории, создание записей в реестре и жестком диске можно приравнивать к стандартным функциям. Ну а сбор документов, cookies, истории и кэша недоступно для использования.

Скрытность: слова здесь подобрать тяжело, зато эмоций очень много. И не только у меня, антивирусы радуются еще сильнее при загрузке зловреда на

Ссылка скрыта от гостей

. Bladabindi во весь голос кричат 58 антивирусов. Таким синонимом заменяют название NjRat. Как ты понимаешь результаты не утешительные.

Объем исполняемых файлов: в готовом объеме без использования дополнительного обвеса и функций файл весит ровно 96 КБ. Достаточно хороший результат и в системе он не займет много места. Поэтому в этом параметре вирусу удается забрать еще один плюс.

Нагрузка на систему: крайне больше беды в этом, если быть точнее малварь нагружает центральный процессор минимум на 18,6% и максимум на 20,1%. Отъедает от памяти 1 МБ и больше ничего не нагружает. Беспрерывное гудение ноутбука гарантированно.

Встроенная защита: здесь я не нашел ничего похожего на мьютексы, но сам вирус имеет дополнительно функции антипроцесс. Ее основная цель заключается в маскировке файла под другие процессы. В стандарте зловред создает процесс в диспетчере задач с названием Windows Update. Где-то ты это слышал, не правда ли? Такую часть мы находили при реверсе нашей малвари. Теперь ты знаешь с чем связанно это название.

Разное: дизайн такого вируса заслуживает особого внимания. При подключении выдается сбитая русификация и серый квадратик в котором должен быть флаг страны. Текст местами написан безграмотно, встречаются ошибки, а главное не всегда поймешь зачем нужна функция. Большие кнопки, непонятный текст и весьма забавное сокращение (особенно слово Camera сокращенное до Cam) делают NjRat по своему особенным.

Итак, тактическая мишень установлена, а значит можно приступать к ее тестированию. Посмотрим насколько хорошо выдержит такое испытания наш вирус.

AsyncRAT

• Страница автора: Github

AsyncRAT — это инструмент удаленного доступа, предназначенный для удаленного мониторинга и управления другими компьютерами через безопасное зашифрованное соединение. Ключевое слово «инструмент«. В доказательство этого можно найти сертификат, который храниться вместе с самим файлом.

Многофункциональность: ничего нового или особенного здесь нету. По сути билдер имеет функцию создания клиента, превращение в критический процесс, запись во временные папки и редактирование описание к файлу.

Скрытность: все значительно печальнее чем у ниндзя. Антивирусы бьют тревогу и говорят, что файл потенциально опасен и лишь 20 счастливчиков из 72 не нашли ничего подозрительного. Остальные 52 очень сильно злятся и заполоняют весь сайт красными строками с названием билдера. Взглянуть на результаты ты можешь

Ссылка скрыта от гостей

.

Объем исполняемых файлов: сами зловреды по размерам очень маленькие и на диске занимают каких-то 48 КБ. Для такой малвари это очень хороший результат и в этом аспекте она берет преимущество перед NjRat.

Нагрузка на систему: не трогает центральный процессор, но забирает себе память. При активном подключении берет 8 МБ, а если коннект не произошел забирает себе 6,1 МБ. Достаточно неплохой результат.

Встроенная защита: дополнительно имеет простой обфускатор кода и мьютекс. В результате чего это позволяет защитить исходный код и информацию о создатели.

Разное: интерфейс билдера самый стандартный, без каких-либо особенностей. Есть вкладка логи и таски, которые всегда находятся под рукой. В дополнение к этому на нижней панели отображает сколько процентов занято CPU и RAM. Крайне простая, но удобная функция. Все данные отображаются корректно. Сбоев кодировки или неправильной работы не наблюдается.

В итоге билдер обходит ниндзя по 4 последним пунктам, что становится достаточно хорошим результатом для такого open-source проекта.

Proton RAT

• Страница автора: Github

К сожалению официального описания софта я не нашел, но могу сказать точно, что такой ратник заслуживает твоего внимания. Сам билдер был найден в репозитории одного пользователя Github. Ничего больше найти не удалось. Исходного кода тоже нет, поэтому разбираться в его строении придется самостоятельно. Версия крякнутая, что свидетельствует об ограниченном или платном доступе для пользователей.

Многофункциональность: такого понятия для этого билдера похоже не существует. Доступен крайне скудный функционал, который включает в себя автозапуск и создание клиента. Есть очень странная функция с названием «Синий экран в терминале«. Так и не понял с чем это связанно, возможно просто крашит систему и вызывает синий экран. Остается также гадать куда делись остальные функции. Либо были вырезанные при взломе или же изначально недоступны даже в полной версии.

Скрытность: в этом параметре утилита становится лидером по количеству детектов. Только 50 из 72 антивирусов нашли угрозу в исполняемом файле. Основной идентификатор у большинства голосов это MSILMamut.2116. Никто из участников так и не смог установить при помощи чего был создан файл. Предлагаю оценить это дело как всегда на

Ссылка скрыта от гостей

.

Объем исполняемых файлов: толстый, но в рамках приличия. Только так я могу прокомментировать массу файла в 168 КБ. Результат неплохой, но можно сделать лучше. Этот пункт идет минусом в сравнении.

Нагрузка на систему: задевает только столбец памяти с размером в 8,1 МБ и диска с объемом в 0,1 МБ/c. Результат положительный с учетом того, что в диспетчере задач не мозолит глаза дополнение 32 бита и расширение файла.

Встроенная защита: две функции в подарок. Это мьютекс и дебагер. Больше ничего полезного в во вкладке настроек ты не найдешь. Скудно и досадно, ведь теперь перед работой с ним придется накладывать дополнительные слои защиты, а потом молиться, чтобы все запустилось.

Разное: к интерфейсу не придраться, плюсом к этому в управлении машиной есть интересная фича, которая позволяет преобразовывать введенный тобою текст в звук на устройстве жертвы. С такими функциями кто-то точно поймает инфаркт. Не каждый день увидишь разговаривающую с тобой технику.

Обойти нашего лидера шоу так и не получилось. Всего лишь 2 пункта из 5 идут положительно. Хотя с некоторыми доработками мог бы получиться идеальный ратник на постоянной основе.

Quasar

• Страница автора: Github

Quasar — это быстрый и легкий инструмент удаленного администрирования, написанный на C#. Использование варьируется от поддержки пользователей до повседневной административной работы и мониторинга сотрудников. Обеспечивая высокую стабильность и простой в использовании пользовательский интерфейс, Quasar является идеальным решением для удаленного администрирования. Системный администраторы, ликуйте! Теперь для вас есть 100% рабочий и удобный софт для взаимодействия с офисными тачками. Ну а если серьезно, то описание звучит крайне оптимистично и красиво, что не совсем похоже на правду.

Многофункциональность: билдер обладает достаточно хорошим арсеналом и может похвастаться некоторыми удобными функциями. Одна из которых это создание инсталятора, который в свою очередь настраивается и запускается от пользователя и администратора. Во втором случаи юзер может выбрать корневую библиотеку для загрузки. Либо системную папку, либо стандартный Program Files. Также можно настроить отображаемое имя в автозапуске. В дополнении есть директивы для сохранения PE-файла. К этому всему пристыкуем поддержку IPv6 и добавления DNS Updater с известного сайта No-Ip.

Скрытность: здесь наш друг ставит рекорды. В отрицательную сторону конечно же. 58 детектов из 72, пока что это самый большой результат из всех. Посмотрим, что будет дальше ну а оставлять это так просто нельзя. Стоит позаботиться о дополнительной защите. Результаты смотри на

Ссылка скрыта от гостей

.

Объем исполняемых файлов: жирный, очень жирный файл. 502 КБ на жестком диске занимает его зловред. Если ставить рекорды, то похоже до конца. Придется оптимизировать все это дело, чтобы нормально перемещать и копировать файл.

Нагрузка на систему: больше всего ест памяти. Забирает себе целых 13,4 МБ. Но не напрягает другие аспекты, поэтому обогнать в этом деле ниндзя ему не удалось. За это стоит поставить плюс.

Встроенная защита: мьютекс как всегда на месте, также имеется автоматический режим. Ну а большего для счастья похоже и не нужно. Хотя это еще достаточно приемлемый результат по сравнению с предыдущими кандидатами. Поэтому не будем нагнетать обстановку по этому поводу.

Разное: самый обычный дизайн для самого обычного ратника. Ничего нового или удивительного в нем я не нашел, поэтому этот пункт останется частично пустым.

Теперь стоит сказать, что ратник отличился своим функционалом и нагрузкой. В других случаях ему не удалось обогнать NjRat, поэтому оставляем два положительных аспекта и идем сравнивать дальше.

Venom

• Страница автора:

  Ссылка скрыта от гостей

Venom RAT — качественный инструмент удаленного администрирования был главным запросом, который мы получили от наших пользователей эксплойтов макросов, и так родился Venom Software. Нет более простого способа распространить эксплойт в любой среде и воспользоваться удаленным управлением файлами и доступом к реестру/командам. Добавлю к этому немного своего мнения, поскольку его осмотру и анализу была посвящена целая статья. Этот продукт очень хорошо зарекомендовал себя в качестве коммерческого инструмента с огромными возможностями. На скриншоте видна его старая версия, но она до сих пор работает и не перестает удивлять. Но не будем преувеличивать, а приступим к сравнению.

Многофункциональность: сама программа держит на своих плечах огромный арсенал. В него входят как самые стандартные функции так и необычные, совершенно новые на этот момент. Ты можешь после сбора PE-файла сразу же не отходя от главного окна загрузить его на хостинг AnonFile или использовать в дополнения ко всем функциям эксплоиты Excel или Word. Кейлоггеры и стиллеры лишь дополняют всю работу и делают все гораздо удобнее. Билдер также предоставляет возможность повысить привилегии в системе до Ring3. То есть превратить ратник в полноценный Rootkit. Мало где такое встретишь.

Скрытность: что это такое? Ну а если серьезно, то не самый лучший результат, но и не самый худший. 54 антивируса из 72 злятся на исполняемый файл. Этот пункт находится в золотой середине между остальными билдерами. Оценить все это дело можно как обычно в

Ссылка скрыта от гостей

.

Объем исполняемых файлов: самый жирный из всех. Откуда берется 535 КБ мне выяснить так и не удалось. В этом пункте Quasar отдает свое почетное место толстяков нашему Venom. По объему он самый большой из всех зловредов.

Нагрузка на систему: также остается в середине и не похоже не собирается отдавать это место. Всего лишь 9,1 МБ в разделе Память и 0,1 МБ/c нагрузка на диск. Хорошие показатели и отличная работа.

Встроенная защита: из этого имеется только мьютекс, поэтому если хочешь, чтобы это детище работало как надо, то придется в любом случаи докачивать несколько программ и покрывать ими исполняемый файл.

Разное: приятный дизайн и быстрая скорость соединения оставляют хорошие впечатления по отношению к этой программе. Она снаряжена всем необходимым и имеет даже свыше тех функций, что ты видел у других ратников. Здесь стоит поставить хороший плюс и перейти к подведению итога.

В минус у нас уходит только объем, все остальное остается в плюсе. Поэтому можно с уверенностью сказать, что Venom обогнал NjRat и взял над ним превосходство. Теперь, когда мы разобрали все программы можно сделать вывод.

Подводим итоги
Итак, по итогам наших сравнений получилось так, что двое билдеров вырвались вперед и одержали победу над NjRat, оставшиеся программы пролетели сравнительные характеристики и забрали всего лишь 2 положительных аспекта. В результате всех этих работ стоит напомнить тебе, что однозначно есть софт значительно лучше и качественнее NjRat и есть утилиты, которые совсем недотягивают до его уровня. Но в случаи с Quasar это дело можно исправить, взяв в руки исходники и любимый Visual Studio. Сюда еще стоит добавить знания C# и можно создавать свои модификации. Сам же ниндзя это достаточно устаревший ратник, у которого еще остался порох в пороховницах, но его не так много, чтобы тягаться с современными программами. Поэтому перед работой всегда проверяй качество и надежность своего софта.