Monday, June 6, 2011 - 17:19
#

Примеры защиты от шпионов

Компьютерный шпион The Rat
Шпион The Rat работает по принципу бестелесных вирусов. При запуске кейлоггера не создается отдельных исполняемых файлов. Он запускается один раз из центра управления или модифицированного экзешника, а затем полностью скрывает следы пребывания и существует только в оперативной памяти. Шпион отправляет украденные данные, логины и пароли по почте или на FTP сервер, указанный в настройка кейлоггера.

Шпион The Rat

Обнаружение и защита от шпиона-кейлоггера The Rat!

Ключевая особенность шпиона TheRat — работа по принципу бестелесных вирусов. Он запускается один раз из центра управления или модифицированного экзешника, а затем полностью скрывает следы пребывания и существует только в оперативной памяти. Любое штатное выключение и даже перезагрузка по короткому нажатию Reset оставляет его в системе”. Такое описание дают разработчики шпиона, мы решили это проверить, поэтому он и попал к нам на изучение.

Антишпиону Mask S.W.B Pro не составила никакого труда, обнаружить кейлоггер TheRat в системе, скрыть от него действия, производимые в платформе защиты и удалить полностью с компьютера.

Для обнаружения шпиона - кейлоггера TheRat, открываем программу Mask S.W.B Pro и смотрим монитор сети в главном окне маскировщика. У шпиона, есть функциональная возможность выкидывать собранные данные на электронный адрес или FTP сервер, а значит, он должен использовать сеть. Так и есть, в мониторе сети видим шпионский процесс socketwe.exe от TheRat, добавляем его в базу угроз, блокируя этим действием его выход в Интернет и переходим в окно “Процессы системы”.

Процесс socketwe.exe от шпиона TheRat

Если шпионский процесс socketwe.exe себя не скрывает от системы, как в нашем случае, его можно обнаружить в обычном списке процессов выделенным красным цветом. Если процесс socketwe.exe будет скрыт, то он легко обнаруживается через монитор скрытых процессов, который можно открыть, через кнопку “Скрытые процессы” в этом же окне.

Скрытый процесс socketwe.exe от шпиона TheRat

Ну и главный шпионский файл от кейлоггера TheRat это библиотека (DLL) rtsnf.dll, которую мы обнаружили, через “Монитор DLL”. Конечно, разработчики пишут, что они меняют названия шпионских файлов с выходом каждой новой версии, но для маскировщика это не проблема. Как бы шпионский файл не назывался он всегда в мониторе, будет выделен желтым цветом и его легко можно будет увидеть.

Библиотека rtsnf.dll от кейлоггера TheRat

Всё шпионские файлы от кейлоггера TheRat были обнаружены, теперь рассмотрим, как их удалить из системы.

В окне “Процессы системы” завершаем через контекстное меню шпионский процесс socketwe.exe, предварительно открыв папку его нахождения. В ней удаляем файл socketwe.exe из системы.

Папка кейлоггера TheRat

Далее переходим в окно “Монитор DLL” и через контекстное меню списка отключаем шпионскую библиотеку.

Удалить Dll шпиона TheRat

После удачного отключения шпионской библиотеки, пункт списка станет серого цвета.

Перезагружаем компьютер, и шпион будет удалён полностью.

Для защиты своих действий от шпиона TheRat не удаляя его с системы, достаточно зайти в платформу защиты программы Mask S.W.B Pro и выполнять все действия, внутри маскировщика. Шпион в компьютере продолжит работать, но увидеть, что происходит в защищённой среде, не сможет, также на момент работы в платформе, будет заблокирована возможность отправки данных кейлоггером по Интернету. Но как только платформа маскировки будет закрыта, шпион TheRat продолжит собирать информацию с компьютера и восстановится возможность отправки данных онлайн. Таким образом, можно защитить себя от слежения, не удаляя кейлоггер с компьютера и обманывать следящего злоумышленника.

Скачайте программу антишпион — маскировщик Mask S.W.B и проверьте - осуществляется ли за вами скрытая слежка при помощи шпиона кейлоггера TheRat!

Вернуться назад