Какво е RAT и как да се предпазим

[sliddex]

RAT произлиза от думата "Remote Administration Tools", което ще рече дистанционно управление. Този софтуер освен за легални нужди (например да управлявате машината ви, докато сте някъде) може да се използва и за нелегални. Когато отворите този тип файл вие предавате всичките си права на отсрещният компютър (или кракер). Какво може да ви причини RAT файла? Много редки са случаите, когато може да се нанесат хардуерни щети, но е възможно. Може да ви открадне всичките пароли (ако има keylogger), изпълнява разни команди, а бе с една дума - контрол, има пълен контрол над компютъра ви, когато той е включен към мрежата.
Как да се предпазим?
- Отваряйте файловете в SandBoxie (пясъчник). Тази програма показва дали файлът ще ви backdoor-не.
- Като цяло внимавайте какво отваряте.
- Не използвайте стари версии на браузърите. Макар вече много минимален шанс, понеже браузърите имат по-добра защита, може да ви RAT-нат (хакнат / кракнат), когато отворите линк и имате инсталирана Java. В този линк (страница) има зловреден Java код, който казва на браузъра автоматично да изтегли и изпълни даден файл.
Как да премахнем / разберем дали сме заразени?
1. Изтеглете MalwareBytes Anti-Malware. Този скенер сканира всичко, включително регистрите и всякакви start up папки и прочие.
2. Изтеглете допълнителен Firewall като Comodo Personal Firewall. Това следи по-подробно връзките с компютъра ви и ви пита дали да допусне някоя връзка да се свържи.
3. След точка 2 и точка 3 е добре да изтеглите Advanced System Care или CCleaner (защо не и двете?), за да почистите регистрите.
4. Надеждна антивирусна е може би Avira.
// Как да разберем дали сме заразени
1. Пишете в cmd netstat -a и гледате за ESTABLISHED връзките. Ако се усъмните в някоя - проверете я в whois и я блокирайте. Също така изпълнете по-горните точки.
2. Може да видите връзките с помощта на програмата TCP View.

Дори и да изпълните всички точки и прочие, може пак да сте заразен понеже има много криптери, коите са FUD. Също така при отваряне на някакъв файл може да е Bind-нат друг и така да изпълните и двата. Няма 100% сигурност, няма и да има, но поне може да се погрижите малко за компютърната ви хигиена.

Чел съм информация в HC Forums @ White Hat Base и я преразказвам. Надявам се да съм бил полезен.
UPDATE 1: Полезен софтуер срещу keyloggers (в повечето RAT-ове ги има като функция) - Key Scrambler. Криптира всяко натискане на клавиша.

[Wakaflocka]

По-принцип знам как да се предпазя от подобни вируси, но пък ми е интересно когато напиша „netstat -a“ в CMD и ми излязат около 20-30 ESTABLISHED връзки, какво може да означава това? Че съм заразен ли? Доста често си чистя компютъра с най-различни програми. Отдавна не съм пускал да се сканира компютъра, но тази вечер ще пусна да се сканира с mbam и може би антивирусната, ще го почистя и с ccleaner.

[sliddex]

По-принцип знам как да се предпазя от подобни вируси, но пък ми е интересно когато напиша „netstat -a“ в CMD и ми излязат около 20-30 ESTABLISHED връзки, какво може да означава това? Че съм заразен ли? Доста често си чистя компютъра с най-различни програми. Отдавна не съм пускал да се сканира компютъра, но тази вечер ще пусна да се сканира с mbam и може би антивирусната, ще го почистя и с ccleaner.

Е ако си пуснал торент клиента си може бая ESTABLISHED връзки да имаш. Най-добре виж в TCP View. Там показва всяка връзка от коя програма се използва и хоп като видиш някоя съмнителна програма със странно име и в повечето случаи без икона, най-добре я провери.

[Wakaflocka]

Ами да, има доста без иконка, но повечето са от скайп, антивирусната (avast) и Mozilla. Дали това е някакъв проблем или е нормално?

[sliddex]

Ами да, има доста без иконка, но повечето са от скайп, антивирусната (avast) и Mozilla. Дали това е някакъв проблем или е нормално?

Нормално е. Бъди спокоен. Едва ли си заразен. Ако си заразен ще си проличи по държанието на компютъра. Принципно има много системни процеси и когато се съмнявам - просто ги проверявам в google. Виж пример.

[SuperWave]

Намирам доста грешки тук.. Първо компютърът ви не се свързва с 'кракер'. Кракерите са хора, които разбиват програми които са с лиценз или се заплащат пари за тях. Второ - Sandboxie не ви показва дали програмата е 'backdoor-ната', тя пуска файловете в виртуална среда и от там, ако e backdoor-ната програмата ще разберете като видите, че процесът още е пуснат след затварянето на програмата. Също така няма значение на кой браузър сте и на коя версия е той, важното е Java. Тези атаки се наричат 'Drive-by Downloads' и от тях зависи Java, а не браузърите. Като цяло урокът е зле написан!

[Exeptt]

- Не използвайте стари версии на браузърите. Макар вече много минимален шанс, понеже браузърите имат по-добра защита, може да ви RAT-нат (хакнат / кракнат), когато отворите линк и имате инсталирана Java. В този линк (страница) има зловреден Java код, който казва на браузъра автоматично да изтегли и изпълни даден файл.

Така, първо не е кракване и терминът хакване не е особено точен за този тип инфекции.За да се защитите от него Ви препоръчвам да държите Java-та на най-новата версия, понеже все пак всяка по-стара версия си има екслпойти, и както каза момчето по-нова версия на браузъра.

Този вид инфекция не се прави само с Java, могат да се използват много добавки(Adobe и други), за съжаление, не всичко е известно на нашите браузъри и не можем да бъдеш защитени от всичко..Абе като цяло внимавайте какво отваряте.

[GluckyT3AM]

RAT произлиза от думата "Remote Administration Tools", което ще рече дистанционно управление. Този софтуер освен за легални нужди (например да управлявате машината ви, докато сте някъде) може да се използва и за нелегални. Когато отворите този тип файл вие предавате всичките си права на отсрещният компютър (или кракер). Какво може да ви причини RAT файла? Много редки са случаите, когато може да се нанесат хардуерни щети, но е възможно. Може да ви открадне всичките пароли (ако има keylogger), изпълнява разни команди, а бе с една дума - контрол, има пълен контрол над компютъра ви, когато той е включен към мрежата.
Как да се предпазим?
- Отваряйте файловете в SandBoxie (пясъчник). Тази програма показва дали файлът ще ви backdoor-не.
- Като цяло внимавайте какво отваряте.
- Не използвайте стари версии на браузърите. Макар вече много минимален шанс, понеже браузърите имат по-добра защита, може да ви RAT-нат (хакнат / кракнат), когато отворите линк и имате инсталирана Java. В този линк (страница) има зловреден Java код, който казва на браузъра автоматично да изтегли и изпълни даден файл.
Как да премахнем / разберем дали сме заразени?
1. Изтеглете MalwareBytes Anti-Malware. Този скенер сканира всичко, включително регистрите и всякакви start up папки и прочие.
2. Изтеглете допълнителен Firewall като Comodo Personal Firewall. Това следи по-подробно връзките с компютъра ви и ви пита дали да допусне някоя връзка да се свържи.
3. След точка 2 и точка 3 е добре да изтеглите Advanced System Care или CCleaner (защо не и двете?), за да почистите регистрите.
4. Надеждна антивирусна е може би Avira.
// Как да разберем дали сме заразени
1. Пишете в cmd netstat -a и гледате за ESTABLISHED връзките. Ако се усъмните в някоя - проверете я в whois и я блокирайте. Също така изпълнете по-горните точки.
2. Може да видите връзките с помощта на програмата TCP View.

Дори и да изпълните всички точки и прочие, може пак да сте заразен понеже има много криптери, коите са FUD. Също така при отваряне на някакъв файл може да е Bind-нат друг и така да изпълните и двата. Няма 100% сигурност, няма и да има, но поне може да се погрижите малко за компютърната ви хигиена.

Чел съм информация в HC Forums @ White Hat Base и я преразказвам. Надявам се да съм бил полезен.
UPDATE 1: Полезен софтуер срещу keyloggers (в повечето RAT-ове ги има като функция) - Key Scrambler. Криптира всяко натискане на клавиша.

Абе момче?!, ти анормален ли си?, даден човек, как ще блокира ип адресите , които са ( ESTABLISHED ) , това служи знаеш ли на колко услуги?, може да е свързано със самата система на компютъра ( Microsoft Corporation ) , а ти си тръгнал да им кажеш, да блокират тези ип адреси , я се виж малко, явно си прочел някъде нещо подобно и тука обесняваш, това въобще няма нищо общо със предпазването им , ако не са гл*пави ще си пуснат една добра защитна програма и няма да има ратове/матове, да блокират ип адресите, но явно, приятел си прочел нещо, което не е на твоето ниво . !

[Devastion]

Добре ве професор. "Защитна програма" Пускаш си аваста и ставаш господ ли ко?