Кейлоггер The Rat!

The Rat! может быть установлен на компьютер методом социальной инженерии – кейлоггер присоединяется к безобидному файлу (игре, архиву с документами, …) и при открытии его будет незаметно для пользователя установлен. Помимо традиционных функций клавиатурного шпиона, программа может отслеживать действия в окнах приложений и реагировать на слова, а также делать скриншоты экрана при каждом нажатии на клавишу Enter.
Особенностью кейлогера является работа по принципу бестелесных вирусов. При его запуске не создается отдельный исполняемый файл. После запуска из центра управления он находится только в оперативной памяти, и перезагрузка компьютера не удаляет его из системы.

Нам показалась эта шпионская программа достаточно опасной, поэтому мы решили написать инструкцию по ее обнаружению и удалению.
Поскольку kейлоггер передает собранную информацию на электронный адрес или FTP сервер, он обнаруживается в сетевом мониторе COVERT Pro. Процесс шпиона The Rat! имеет название socketwe.exe. Для блокировки передачи данных следует этот процесс добавить в базу угроз маскировщика.
В мониторе “Процессы системы” мы тоже обнаруживаем socketwe.exe.

The Rat!

Если этот процесс не скрывает свое присутствие в системе, тогда он будет выделен красным цветом в списке процессов. Ну а если он себя будет скрывать, тогда его можно будет обнаружить в мониторе скрытых процессов.

The Rat!

Основным файлом кейлоггера является библиотека rtsnf.dll. Ее присутствие обнаруживается в окне “Монитор DLL”. Если название будет другое, шпионскую библиотеку все равно можно будет увидеть в этом мониторе, и она будет выделена желтым цветом, как неопознанная и не принадлежащая системе.

The Rat!

Больше компонентов шпионской программы The Rat! в системе нет и можно приступить к их удалению.

В мониторе “Процессы системы” открываем папку с установленным шпионом и затем через контекстное меню завершаем процесс socketwe.exe. Удаляем socketwe.exe из открытой папки.

The Rat!

Потом в окне “Монитор DLL” следует отключить библиотеку rtsnf.dll через контекстное меню.

The Rat!

Если библиотека кейлоггера успешно отключена, строка с ее именем будет подсвечена серым цветом. Шпионская программа удалена. Теперь следует перезагрузить компьютер.

Если в силу каких-либо обстоятельств вы не хотите удалять кейлоггер с компьютера, но вам необходимо периодически выполнять конфиденциальную работу, просто входите в защищенную платформу COVERT Pro и спокойно работайте. Шпионская программа не сможет перехватить клавиатурный ввод, сделать скриншот и передача ею данных будет заблокирована. После того, как вы выйдите из платформы маскировщика, The Rat! продолжит собирать информацию и отправлять ее на электронный адрес хозяина или на сервер.

По традиции, в конце нашей инструкции, приводим результаты теста исполняемого файла шпионской программы. Да здравствуют антивирусы! Аж 41% определили угрозу. Это впервые в нашей практике. Обычно процент детектирования колеблется в пределах 3 – 7 %. Не поленитесь и посмотрите список. Вы сможете найти достаточно много популярных антивирусных программ, которые не посчитали TheRat угрозой для вашей информации. Кажется, что не стоит полагаться на антивирусную защиту в борьбе со шпионскими программами и в этом случае.

The Rat!

Скачайте маскировщик COVERT и БЕСПЛАТНО проверьте — следят ли за вами с помощью The Rat!.

Только для рассылки информации о новых версиях и шпионах