Примеры защиты от шпионов
Шпион The Rat работает по принципу бестелесных вирусов. При запуске кейлоггера не создается отдельных исполняемых файлов. Он запускается один раз из центра управления или модифицированного экзешника, а затем полностью скрывает следы пребывания и существует только в оперативной памяти. Шпион отправляет украденные данные, логины и пароли по почте или на FTP сервер, указанный в настройка кейлоггера.Обнаружение и защита от шпиона-кейлоггера The Rat!
“Ключевая особенность шпиона TheRat — работа по принципу бестелесных вирусов. Он запускается один раз из центра управления или модифицированного экзешника, а затем полностью скрывает следы пребывания и существует только в оперативной памяти. Любое штатное выключение и даже перезагрузка по короткому нажатию Reset оставляет его в системе”. Такое описание дают разработчики шпиона, мы решили это проверить, поэтому он и попал к нам на изучение.
Антишпиону Mask S.W.B Pro не составила никакого труда, обнаружить кейлоггер TheRat в системе, скрыть от него действия, производимые в платформе защиты и удалить полностью с компьютера.
Для обнаружения шпиона - кейлоггера TheRat, открываем программу Mask S.W.B Pro и смотрим монитор сети в главном окне маскировщика. У шпиона, есть функциональная возможность выкидывать собранные данные на электронный адрес или FTP сервер, а значит, он должен использовать сеть. Так и есть, в мониторе сети видим шпионский процесс socketwe.exe от TheRat, добавляем его в базу угроз, блокируя этим действием его выход в Интернет и переходим в окно “Процессы системы”.
Если шпионский процесс socketwe.exe себя не скрывает от системы, как в нашем случае, его можно обнаружить в обычном списке процессов выделенным красным цветом. Если процесс socketwe.exe будет скрыт, то он легко обнаруживается через монитор скрытых процессов, который можно открыть, через кнопку “Скрытые процессы” в этом же окне.
Ну и главный шпионский файл от кейлоггера TheRat это библиотека (DLL) rtsnf.dll, которую мы обнаружили, через “Монитор DLL”. Конечно, разработчики пишут, что они меняют названия шпионских файлов с выходом каждой новой версии, но для маскировщика это не проблема. Как бы шпионский файл не назывался он всегда в мониторе, будет выделен желтым цветом и его легко можно будет увидеть.
Всё шпионские файлы от кейлоггера TheRat были обнаружены, теперь рассмотрим, как их удалить из системы.
В окне “Процессы системы” завершаем через контекстное меню шпионский процесс socketwe.exe, предварительно открыв папку его нахождения. В ней удаляем файл socketwe.exe из системы.
Далее переходим в окно “Монитор DLL” и через контекстное меню списка отключаем шпионскую библиотеку.
После удачного отключения шпионской библиотеки, пункт списка станет серого цвета.
Перезагружаем компьютер, и шпион будет удалён полностью.
Для защиты своих действий от шпиона TheRat не удаляя его с системы, достаточно зайти в платформу защиты программы Mask S.W.B Pro и выполнять все действия, внутри маскировщика. Шпион в компьютере продолжит работать, но увидеть, что происходит в защищённой среде, не сможет, также на момент работы в платформе, будет заблокирована возможность отправки данных кейлоггером по Интернету. Но как только платформа маскировки будет закрыта, шпион TheRat продолжит собирать информацию с компьютера и восстановится возможность отправки данных онлайн. Таким образом, можно защитить себя от слежения, не удаляя кейлоггер с компьютера и обманывать следящего злоумышленника.
Скачайте программу антишпион — маскировщик Mask S.W.B и проверьте - осуществляется ли за вами скрытая слежка при помощи шпиона кейлоггера TheRat!