Троянските коне за отдалечен достъп^{(Remote Access Trojans)} ( RAT ) винаги са се оказвали голям риск за този свят, когато става въпрос за отвличане на компютър или просто шега с приятел. RAT е злонамерен софтуер, който позволява на оператора да атакува компютър и да получи неоторизиран отдалечен достъп до него. RAT^(RATs) са тук от години и продължават да продължават, тъй като намирането на някои RAT^(RATs) е трудна задача дори за съвременния антивирусен^(Antivirus) софтуер там.

В тази публикация ще видим какво е троян за отдалечен достъп^{(Access Trojan)} и ще говорим за наличните техники за откриване и премахване. Той също така обяснява накратко някои от често срещаните RAT^(RATs) като CyberGate , DarkComet , Optix , Shark , Havex , ComRat ,  VorteX Rat , Sakula и KjW0rm .

Какво представляват троянските коне за отдалечен достъп

Повечето от троянски коне за отдалечен достъп^{(Remote Access Trojan)} се изтеглят в злонамерени имейли, неоторизирани програми и уеб връзки, които не ви отвеждат никъде. RAT^(RATs) не са прости като програмите Keylogger – те предоставят на нападателя много възможности като:

• Keylogging : Вашите натискания на клавиши могат да бъдат наблюдавани и потребителски имена, пароли и друга чувствителна информация могат да бъдат възстановени от тях.
• Заснемане на екрана^{(Screen Capture)} : Можете да получите екранни снимки, за да видите какво се случва на вашия компютър.
• Хардуерно заснемане на медии^{(Hardware Media Capture)} : RAT могат да получат достъп до вашата уеб камера и микрофон, за да записват вас и вашето обкръжение, нарушавайки напълно поверителността.
• Права на администратор^{(Administration Rights)} : Нападателят може да промени всякакви настройки, да промени стойностите на системния регистър и да направи много повече на вашия компютър без ваше разрешение. RAT може да предостави права на администраторско ниво на нападателя.
• Овърклок^{(Overclocking)} : Нападателят може да увеличи скоростите на процесора, овърклокването на системата може да навреди на хардуерните компоненти и в крайна сметка да ги изпепели.
• Други специфични за системата възможности^{(Other system-specific capabilitie)} : Нападателят може да има достъп до всичко на вашия компютър, вашите файлове, пароли, чатове и просто всичко.

Как работят троянските коне за отдалечен достъп

^{(Remote Access)} Троянските коне ^(Trojans)за отдалечен достъп идват в конфигурация сървър-клиент, където сървърът е тайно инсталиран на компютъра жертва, а клиентът може да се използва за достъп до компютъра жертва чрез GUI или команден интерфейс. Връзка между сървър и клиент се отваря на конкретен порт и може да се осъществи криптирана или обикновена комуникация между сървъра и клиента. Ако мрежата и изпратените/получените пакети се наблюдават правилно, RAT^(RATs) могат да бъдат идентифицирани и премахнати.

Предотвратяване на атаки на RAT

RAT^(RATs) си проправят път към компютрите от спам имейли^{(spam emails)} , злонамерено програмиран софтуер или идват опаковани като част от друг софтуер или приложение. Винаги трябва да имате инсталирана добра антивирусна програма на вашия компютър, която може да открива и премахва RAT^(RATs) . Откриването на RAT^(RATs) е доста трудна задача, тъй като те са инсталирани под произволно име, което може да изглежда като всяко друго често срещано приложение и затова трябва да имате наистина добра антивирусна^(Antivirus) програма за това.

Наблюдението на вашата мрежа^{(Monitoring your network)} също може да бъде добър начин за откриване на всеки троянски кон^(Trojan) , изпращащ вашите лични данни през интернет.

Ако не използвате Инструменти за отдалечено администриране^{(Remote Administration Tools)} , деактивирайте връзките за отдалечена помощ^{(disable Remote Assistance connections)} към вашия компютър. Ще получите настройката в SystemProperties > Remote tab > Uncheck Разрешаване на връзки за отдалечена помощ към тази опция на компютъра .^{(Allow Remote Assistance connections to this computer)}

Поддържайте операционната си система, инсталирания софтуер и особено програмите за сигурност актуализирани^{(security programs updated)} по всяко време. Също така, опитайте се да не щраквате върху имейли, на които нямате доверие и са от неизвестен източник. Не изтегляйте никакъв софтуер от източници, различни от официалния уебсайт или огледало.

След атаката на RAT

След като разберете, че сте били атакувани, първата стъпка е да изключите системата си от интернет^(Internet) и мрежата^(Network) , ако сте свързани. Променете^(Change) всичките си пароли и друга чувствителна информация и проверете дали някой от вашите акаунти е бил компрометиран, като използвате друг чист компютър. Проверете банковите си сметки за измамни транзакции и незабавно информирайте банката си за троянски кон^(Trojan) в компютъра ви. След това сканирайте компютъра за проблеми и потърсете професионална помощ за премахване на RAT . Помислете за затваряне на порт 80^{(Port 80)} . Използвайте скенер за портове на защитната стена , за да проверите всичките си портове.

Можете дори да опитате да се върнете назад и да разберете кой стои зад атаката, но за това ще ви трябва професионална помощ. RAT обикновено могат да бъдат премахнати, след като бъдат открити, или можете да имате нова инсталация на Windows , за да я премахнете напълно.

Често срещани троянски коне за отдалечен достъп

Много троянски коне ^(Trojans)за отдалечен достъп^{(Remote Access)} в момента са активни и заразяват милиони устройства. Най-известните са разгледани тук в тази статия:

1. Sub7 : „Sub7“, получен чрез изписване на NetBus (по-стар RAT ) назад, е безплатен инструмент за отдалечено администриране, който ви позволява да имате контрол над хост компютъра. Инструментът е категоризиран като троянски коне от експерти по сигурността и може да бъде потенциално рисковано да го имате на компютъра си.
2. Back Orifice : Back Orifice и неговият наследник Back Orifice 2000 е безплатен инструмент, който първоначално е предназначен за отдалечено администриране – но не отнема време, докато инструментът се преобразува в троянски кон за отдалечен достъп^{(Access Trojan)} . Имаше спор, че този инструмент е троянски кон^(Trojan) , но разработчиците стоят на факта, че това е легитимен инструмент, който осигурява достъп от отдалечена администрация. Програмата вече се идентифицира като зловреден софтуер от повечето антивирусни програми.
3. DarkComet : Това е много разширяем инструмент за отдалечено администриране с много функции, които потенциално могат да бъдат използвани за шпиониране. Инструментът също има своите връзки с Гражданската война^{(Civil War)} в Сирия , където се съобщава, че правителството^(Government) е използвало този инструмент, за да шпионира цивилни. Инструментът вече е бил злоупотребен много и разработчиците са спрели по-нататъшното му развитие.
4. sharK : Това е усъвършенстван инструмент за отдалечено администриране. Не е предназначен за начинаещи и любители хакери. Твърди се, че е инструмент за професионалисти по сигурността и напреднали потребители.
5. Havex : Този троянски кон е широко използван срещу индустриалния сектор. Той събира информация, включително наличието на всяка индустриална система за управление^{(Industrial Control System)} и след това предава същата информация на отдалечени уебсайтове.
6. Sakula : Троянски кон^(Trojan) за отдалечен достъп , който се предлага в инсталатор по ваш избор. Той ще изобрази, че инсталира някакъв инструмент на вашия компютър, но ще инсталира злонамерения софтуер заедно с него.
7. KjW0rm : Този троянец^(Trojan) се предлага с много възможности, но вече е маркиран като заплаха от много антивирусни^(Antivirus) инструменти.

Тези троянски коне за отдалечен достъп^{(Remote Access Trojan)} помогнаха на много хакери да компрометират милиони компютри. Наличието на защита срещу тези инструменти е задължително, а добра програма за сигурност с предупредителен потребител е всичко, което е необходимо, за да предотвратите компрометирането на компютъра от тези троянски коне.

Тази публикация е предназначена да бъде информативна статия за RAT^(RATs) и по никакъв начин не насърчава тяхното използване. Във всеки случай може да има някои законови закони относно използването на такива инструменти във вашата страна.

Прочетете повече за инструментите за отдалечено администриране^{(Remote Administration Tools)} тук.

What is Remote Access Trojan? Prevention, Detection & Removal

Remote Access Trojans (RAT) have always proved to be a big risk to this world when it comes to hijacking a computer or just playing a prank with a friend. A RAT is malicious software that lets the operator attack a computer and gain unauthorized remote access to it. RATs have been here for years, and they persist as finding some RATs is a difficult task even for the modern Antivirus software out there.

In this post, we will see what is Remote Access Trojan and talks about detection & removal techniques available. It also explains, in short, some of the common RATs like CyberGate, DarkComet, Optix, Shark, Havex, ComRat, VorteX Rat, Sakula and KjW0rm.

What are Remote Access Trojans

Most of the Remote Access Trojan are downloaded in malicious emails, unauthorized programs and web links that take you nowhere. RATs are not simple like Keylogger programs – they provide the attacker with a lot of capabilities such as:

• Keylogging: Your keystrokes could be monitored, and usernames, passwords, and other sensitive information could be recovered from it.
• Screen Capture: Screenshots can be obtained to see what is going on your computer.
• Hardware Media Capture: RATs can take access to your webcam and mic to record you and your surroundings completely violating privacy.
• Administration Rights: The attacker may change any settings, modify registry values and do a lot more to your computer without your permission. RAT can provide an administrator-level privileges to the attacker.
• Overclocking: The attacker may increase processor speeds, overclocking the system can harm the hardware components and eventually burn them to ashes.
• Other system-specific capabilities: Attacker can have access to anything on your computer, your files, passwords, chats and just anything.

How do Remote Access Trojans work

Remote Access Trojans come in a server-client configuration where the server is covertly installed on the victim PC, and the client can be used to access the victim PC through a GUI or a command interface. A link between server and client is opened on a specific port, and encrypted or plain communication can happen between the server and the client. If the network and packets sent/received are monitored properly, RATs can be identified and removed.

RAT attack Prevention

RATs make their way to computers from spam emails, maliciously programmed software or they come packed as a part of some other software or application. You must always have a good antivirus program installed on your computer that can detect and eliminate RATs. Detecting RATs is quite a difficult task as they are installed under a random name that may seem like any other common application, and so you need to have a really good Antivirus program for that.

Monitoring your network can also be a good way to detect any Trojan sending your personal data over the internet.

If you don’t use Remote Administration Tools, disable Remote Assistance connections to your computer. You will get the setting in SystemProperties > Remote tab > Uncheck Allow Remote Assistance connections to this computer option.

Keep your operating system, installed software and particularly security programs updated at all times. Also, try not to click on emails that you don’t trust and are from an unknown source. Do not download any software from sources other than its official website or mirror.

After the RAT attack

Once you know you’ve been attacked, the first step is to disconnect your system from the Internet and the Network if you are connected. Change all your passwords and other sensitive information and check if any of your accounts has been compromised using another clean computer. Check your bank accounts for any fraudulent transactions and immediately inform your bank about the Trojan in your computer. Then scan the computer for issues and seek professional help for removing the RAT. Consider closing Port 80. Use a Firewall Port Scanner to check all your Ports.

You can even try to back-track and know who was behind the attack, but you’ll need professional help for that. RATs can usually be removed once they are detected, or you can have a fresh installation of Windows to completely remove it off.

Common Remote Access Trojans

Many Remote Access Trojans are currently active now and infecting millions of devices. The most notorious ones are discussed here in this article:

1. Sub7: ‘Sub7’ derived by spelling NetBus (an older RAT) backward is a free remote administration tool that lets you have control over the host PC. The tool has been categorized into Trojans by security experts, and it can be potentially risky to have it on your computer.
2. Back Orifice: Back Orifice and its successor Back Orifice 2000 is a free tool that was originally meant for remote administration – but it didn’t take the time that the tool got converted into a Remote Access Trojan. There has been a controversy that this tool is a Trojan, but developers stand upon the fact that it is a legitimate tool that provides remote administration access. The program is now identified as malware by most of antivirus programs.
3. DarkComet: It is a very extensible remote administration tool with a lot of features that could be potentially used for spying. The tool also has its links with the Syrian Civil War where it is reported that the Government used this tool to spy on civilians. The tool has already been misused a lot, and the developers have stopped its further development.
4. sharK: It is an advanced remote administration tool. Not meant for beginners and amateur hackers. It is said to be a tool for security professionals and advanced users.
5. Havex: This trojan has been extensively used against the industrial sector. It collects information including the presence of any Industrial Control System and then passes on the same information to remote websites.
6. Sakula: A remote access Trojan that comes in an installer of your choice. It will depict that it is installing some tool on your computer but will install the malware along with it.
7. KjW0rm: This Trojan comes packed with a lot of capabilities but already marked as a threat by many Antivirus tools.

These Remote Access Trojan have helped many hackers compromise millions of computers. Having protection against these tools is a must, and a good security program with an alert user is all it takes to prevent these Trojans from compromising your computer.

This post was meant to be an informative article about RATs and does not in any way promote their usage. There may be some legal laws about the usage of such tools in your country, in any case.

Read more about Remote Administration Tools here.

Related posts

• Атаки на уязвимост при отвличане на DLL, предотвратяване и откриване

• Инструменти за отдалечено администриране: рискове, заплахи, превенция

• Пакет софтуер: определение, превенция, ръководство за премахване

• Отвличане на браузър и безплатни инструменти за премахване на похитители на браузъри

• Безплатни инструменти за премахване на зловреден софтуер за премахване на специфичен вирус в Windows 11/10

• 26 най-добри безплатни инструменти за премахване на зловреден софтуер

• Какво е руткит? Как работят руткитите? Руткитите са обяснени.

• Как да проверите дали даден файл е злонамерен или не в Windows 11/10

• Как да премахнете Chromium Virus от Windows 11/10

• Как можете да получите компютърен вирус, троянски кон, работа, шпионски софтуер или злонамерен софтуер?

• Какво е IDP.Generic и как безопасно да го премахнете от Windows?

• Посоченият модул не може да бъде намерен грешка в Windows 11/10

• Най-добрият безплатен софтуер за премахване на шпионски и злонамерен софтуер

• Crystal Security е безплатен облачно базиран инструмент за откриване на злонамерен софтуер за компютър

• Как да проверите системния регистър за злонамерен софтуер в Windows 11/10

• Как да деинсталирате или премахнете Driver Tonic от Windows 10

• Кибер атаки – определение, видове, превенция

• Проверете дали компютърът ви е заразен от ASUS Update Malware

• Как Microsoft идентифицира злонамерен софтуер и потенциално нежелани приложения

• TeamViewer: безплатен софтуер за отдалечен достъп и управление