Monday, June 6, 2011     17:19
#

Примеры защиты от шпионских программ.

The Rat – работает по принципу бестелесных вирусов. При запуске кейлоггера не создается отдельных исполняемых файлов. Он запускается один раз из центра управления или модифицированного экзешника, а затем полностью скрывает следы пребывания и существует только в оперативной памяти.

Обнаружение и защита от шпиона - кейлоггера The Rat!

Ключевая особенность шпиона TheRat — работа по принципу бестелесных вирусов. Он запускается один раз из центра управления или модифицированного экзешника, а затем полностью скрывает следы пребывания и существует только в оперативной памяти. Любое штатное выключение и даже перезагрузка по короткому нажатию Reset оставляет его в системе”. Такое описание дают разработчики шпиона, мы решили это проверить, поэтому он и попал к нам на изучение.

Программе Mask S.W.B Pro не составила никакого труда, обнаружить шпиона TheRat в системе, скрыть от него действия, производимые в платформе защиты и удалить полностью с компьютера.

Для обнаружения шпиона - кейлоггера TheRat, открываем программу Mask S.W.B Pro и смотрим монитор сети в главном окне маскировщика. У шпиона, есть функциональная возможность выкидывать собранные данные на электронный адрес или FTP сервер, а значит, он должен использовать сеть. Так и есть, в мониторе сети видим шпионский процесс socketwe.exe от TheRat, добавляем его в базу угроз, блокируя этим действием его выход в Интернет и переходим в окно “Процессы системы”.

Если шпионский процесс socketwe.exe себя не скрывает от системы, как в нашем случае, его можно обнаружить в обычном списке процессов выделенным красным цветом. Если процесс socketwe.exe будет скрыт, то он легко обнаруживается через монитор скрытых процессов, который можно открыть, через кнопку “Скрытые процессы” в этом же окне.

Ну и главный шпионский файл от кейлоггера TheRat это библиотека (DLL) rtsnf.dll, которую мы обнаружили, через “Монитор DLL”. Конечно, разработчики пишут, что они меняют названия шпионских файлов с выходом каждой новой версии, но для маскировщика это не проблема. Как бы шпионский файл не назывался он всегда в мониторе, будет выделен желтым цветом и его легко можно будет увидеть.

Всё шпионские файлы от кейлоггера TheRat были обнаружены, теперь рассмотрим, как их удалить из системы.

В окне “Процессы системы” завершаем через контекстное меню шпионский процесс socketwe.exe, предварительно открыв папку его нахождения. В ней удаляем файл socketwe.exe из системы.

Далее переходим в окно “Монитор DLL” и через контекстное меню списка отключаем шпионскую библиотеку.

После удачного отключения шпионской библиотеки, пункт списка станет серого цвета. Перезагружаем компьютер, и шпион будет удалён полностью.

Для защиты своих действий от шпиона TheRat не удаляя его с системы, достаточно зайти в платформу защиты программы Mask S.W.B Pro и выполнять все действия, внутри маскировщика. Шпион в компьютере продолжит работать, но увидеть, что происходит в защищённой среде, не сможет, также на момент работы в платформе, будет заблокирована возможность отправки данных кейлоггером по Интернету. Но как только платформа маскировки будет закрыта, шпион TheRat продолжит собирать информацию с компьютера и восстановится возможность отправки данных онлайн. Таким образом, можно защитить себя от слежения, не удаляя кейлоггер с компьютера и обманывать следящего злоумышленника.

 

 

 

Скачайте программу маскировщик Mask S.W.B, и бесплатно проверьте - осуществляется ли за вами скрытая слежка при помощи шпиона кейлоггера TheRat!

Вернуться назад