A távoli hozzáférésű trójaiak^{(Remote Access Trojans)} ( RAT ) mindig is nagy kockázatot jelentenek erre a világra, amikor számítógép-eltérítésről vagy csak egy baráttal való csínytevésről van szó. A RAT egy rosszindulatú szoftver, amely lehetővé teszi a kezelő számára, hogy megtámadjon egy számítógépet, és jogosulatlan távoli hozzáférést kapjon hozzá. A RAT^(RATs) -ok évek óta itt vannak, és továbbra is fennállnak, mivel néhány RAT^(RATs) megtalálása még a modern víruskereső^(Antivirus) szoftverek számára is nehéz feladat.

Ebben a bejegyzésben látni fogjuk, mi az a Remote Access Trojan , és beszélünk a rendelkezésre álló észlelési és eltávolítási technikákról. Röviden megmagyaráz néhány olyan általános RAT^(RATs) -ot is, mint a CyberGate , DarkComet , Optix , Shark , Havex , ComRat ,  VorteX Rat , Sakula és KjW0rm .

Mik azok a távelérési trójaiak

A távelérési trójai programok^{(Remote Access Trojan)} nagy részét rosszindulatú e-mailekben, jogosulatlan programokban és webes hivatkozásokban töltik le, amelyek sehova sem vezetnek. A RAT^(RATs) - ok nem olyan egyszerűek, mint a Keylogger programok – számos funkciót biztosítanak a támadónak, például:

• Billentyűnaplózás^(Keylogging) : A billentyűleütések nyomon követhetők, és a felhasználónevek, jelszavak és egyéb érzékeny információk visszaállíthatók belőle.
• Képernyőfelvétel^{(Screen Capture)} : Képernyőképeket készíthet, hogy megnézze, mi történik a számítógépén.
• Hardveres^{(Hardware Media Capture)} médiarögzítés: A patkányok hozzáférhetnek a webkamerához és a mikrofonhoz, hogy rögzítsék Önt és környezetét, teljesen megsértve a magánélet védelmét.
• Rendszergazdai jogok^{(Administration Rights)} : A támadó az Ön engedélye nélkül módosíthatja a beállításokat, módosíthatja a rendszerleíró adatbázis értékeit, és még sok mást tehet a számítógépén. A RAT^(RAT) rendszergazdai szintű jogosultságokat biztosíthat a támadónak.
• Túlhúzás^{(Overclocking)} : A támadó növelheti a processzor sebességét, a rendszer túlhajtása károsíthatja a hardverkomponenseket, és végül hamuvá égetheti azokat.
• Egyéb rendszerspecifikus képességek^{(Other system-specific capabilitie)} : A támadó bármihez hozzáférhet a számítógépén, fájljaihoz, jelszavaihoz, csevegéseihez és bármihez.

Hogyan működnek a távelérési trójaiak

A távelérési ^{(Remote Access)} trójaiak^(Trojans) szerver-kliens konfigurációban érkeznek, ahol a szerver rejtetten telepítve van az áldozat PC-re, és a kliens segítségével hozzá lehet férni az áldozat PC-hez grafikus felhasználói felületen^(GUI) vagy parancsfelületen keresztül. A szerver és az ügyfél közötti kapcsolat egy adott porton nyílik meg, és titkosított vagy egyszerű kommunikáció történhet a szerver és a kliens között. Ha a hálózatot és a küldött/fogadott csomagokat megfelelően figyelik, a RAT^(RATs) - ok azonosíthatók és eltávolíthatók.

RAT támadás Megelőzés

A RAT -ok ^(RATs)spam e-mailekből^{(spam emails)} , rosszindulatúan programozott szoftverekből jutnak el a számítógépekhez , vagy valamilyen más szoftver vagy alkalmazás részeként érkeznek. Mindig rendelkeznie kell egy jó víruskereső programmal a számítógépen, amely képes észlelni és kiküszöbölni a RAT^(RATs) -okat . A RAT^(RATs) -ok észlelése meglehetősen nehéz feladat, mivel véletlenszerű néven vannak telepítve, ami úgy tűnhet, mint bármely más általános alkalmazás, ezért ehhez egy igazán jó víruskereső^(Antivirus) programra van szükség.

A hálózat figyelése^{(Monitoring your network)} jó módja annak, hogy észlelje a személyes adatait az interneten keresztül küldő trójaiakat .^(Trojan)

Ha nem használja a Távfelügyeleti eszközöket^{(Remote Administration Tools)} , tiltsa le a Távsegítség kapcsolatait^{(disable Remote Assistance connections)} a számítógépével. A beállítást a SystemProperties > Remote lapon > Uncheck a Távsegítség-kapcsolatok engedélyezése ehhez a számítógéphez^{(Allow Remote Assistance connections to this computer)} jelölőnégyzet bejelölését .

Az operációs rendszert, a telepített szoftvereket és különösen a biztonsági programokat mindig frissítse^{(security programs updated)} . Ezenkívül próbáljon meg ne kattintani azokra az e-mailekre, amelyekben nem bízik, és amelyek ismeretlen forrásból származnak. Ne töltsön le semmilyen szoftvert a hivatalos webhelyén vagy tükörén kívüli forrásból.

A RAT támadás után

Ha tudja, hogy megtámadták, az első lépés az, hogy leválasztja a rendszert az internetről^(Internet) és a hálózatról^(Network) , ha csatlakozik. Módosítsa^(Change) az összes jelszavát és egyéb bizalmas adatait, és ellenőrizze, hogy valamelyik fiókját nem sértették-e fel egy másik tiszta számítógép segítségével. Ellenőrizze bankszámláit, hogy nem történt-e csalárd tranzakció, és azonnal tájékoztassa bankját a számítógépén lévő trójai programról. ^(Trojan)Ezután vizsgálja meg a számítógépet, keresve a problémákat, és kérjen szakértői segítséget a RAT eltávolításához . Fontolja meg a 80-as port^{(Port 80)} bezárását . Használjon Firewall Port Scannert az összes port ellenőrzéséhez.

Megpróbálhat visszalépni, és megtudhatja, ki áll a támadás mögött, de ehhez szakmai segítségre lesz szüksége. A RAT-ok általában eltávolíthatók az észlelésük után, vagy a Windows új telepítésével teljesen eltávolíthatja őket.

Gyakori távoli hozzáférésű trójaiak

Jelenleg sok távelérési ^{(Remote Access)} trójai aktív, és több millió eszközt fertőz meg. ^(Trojans)Ebben a cikkben a leghírhedtebbekről lesz szó:

1. Sub7 : A ^(Sub7)NetBus (régebbi RAT ) visszaírásából származó 'Sub7' egy ingyenes távoli adminisztrációs eszköz, amely lehetővé teszi a gazdaszámítógép feletti irányítást. Az eszközt biztonsági szakértők a trójaiak közé sorolták, és potenciálisan kockázatos lehet, ha a számítógépén van.
2. Back Orifice : A Back Orifice és utódja, a Back Orifice 2000 egy ingyenes eszköz, amelyet eredetileg távoli adminisztrációra szántak – de nem telt bele az idő, amíg az eszközt távelérési trójaivá^{(Access Trojan)} alakították át . Vitatott volt, hogy ez az eszköz egy trójai^(Trojan) , de a fejlesztők kitartanak azon tény mellett, hogy ez egy legitim eszköz, amely távoli adminisztrációs hozzáférést biztosít. A legtöbb víruskereső program most már rosszindulatú programként azonosítja a programot.
3. DarkComet : Ez egy nagyon bővíthető távoli adminisztrációs eszköz, sok olyan funkcióval, amelyek potenciálisan kémkedésre használhatók. Az eszköz a szíriai polgárháborúhoz^{(Civil War)} is kapcsolódik, ahol a hírek szerint a kormány^(Government) civilek utáni kémkedésre használta ezt az eszközt. Az eszközzel már eddig is sokat visszaéltek, a fejlesztők leállították a további fejlesztését.
4. sharK : Ez egy fejlett távoli adminisztrációs eszköz. Nem kezdőknek és amatőr hackereknek készült. Állítólag a biztonsági szakemberek és a haladó felhasználók eszköze.
5. Havex : Ezt a trójai programot széles körben használták az ipari szektor ellen. Információkat gyűjt, beleértve az ipari vezérlőrendszerek^{(Industrial Control System)} jelenlétét, majd továbbítja ugyanazokat az információkat távoli webhelyeknek.
6. Sakula : Távoli hozzáférésű trójai^(Trojan) , amely az Ön által választott telepítőben érkezik. Azt fogja ábrázolni, hogy valamilyen eszközt telepít a számítógépére, de ezzel együtt telepíti a rosszindulatú programot is.
7. KjW0rm : Ez a trójai^(Trojan) rengeteg képességgel rendelkezik, de már számos víruskereső^(Antivirus) eszköz fenyegetésként jelölte meg.

Ezek a távelérési trójai programok^{(Remote Access Trojan)} sok hackernek segítettek kompromittálni számítógépek millióit. Az ilyen eszközök elleni védelem elengedhetetlen, és egy jó biztonsági program éber felhasználóval elegendő ahhoz, hogy megakadályozzák, hogy ezek a trójaiak veszélybe sodorják számítógépét.

Ez a bejegyzés informatív cikk volt a RAT^(RATs) -okról , és semmilyen módon nem népszerűsíti a használatukat. Mindenesetre előfordulhat, hogy az Ön országában bizonyos törvények szabályozzák az ilyen eszközök használatát.

További információ a Távfelügyeleti eszközökről^{(Remote Administration Tools)} itt.

What is Remote Access Trojan? Prevention, Detection & Removal

Remote Access Trojans (RAT) have always proved to be a big risk to this world when it comes to hijacking a computer or just playing a prank with a friend. A RAT is malicious software that lets the operator attack a computer and gain unauthorized remote access to it. RATs have been here for years, and they persist as finding some RATs is a difficult task even for the modern Antivirus software out there.

In this post, we will see what is Remote Access Trojan and talks about detection & removal techniques available. It also explains, in short, some of the common RATs like CyberGate, DarkComet, Optix, Shark, Havex, ComRat, VorteX Rat, Sakula and KjW0rm.

What are Remote Access Trojans

Most of the Remote Access Trojan are downloaded in malicious emails, unauthorized programs and web links that take you nowhere. RATs are not simple like Keylogger programs – they provide the attacker with a lot of capabilities such as:

• Keylogging: Your keystrokes could be monitored, and usernames, passwords, and other sensitive information could be recovered from it.
• Screen Capture: Screenshots can be obtained to see what is going on your computer.
• Hardware Media Capture: RATs can take access to your webcam and mic to record you and your surroundings completely violating privacy.
• Administration Rights: The attacker may change any settings, modify registry values and do a lot more to your computer without your permission. RAT can provide an administrator-level privileges to the attacker.
• Overclocking: The attacker may increase processor speeds, overclocking the system can harm the hardware components and eventually burn them to ashes.
• Other system-specific capabilities: Attacker can have access to anything on your computer, your files, passwords, chats and just anything.

How do Remote Access Trojans work

Remote Access Trojans come in a server-client configuration where the server is covertly installed on the victim PC, and the client can be used to access the victim PC through a GUI or a command interface. A link between server and client is opened on a specific port, and encrypted or plain communication can happen between the server and the client. If the network and packets sent/received are monitored properly, RATs can be identified and removed.

RAT attack Prevention

RATs make their way to computers from spam emails, maliciously programmed software or they come packed as a part of some other software or application. You must always have a good antivirus program installed on your computer that can detect and eliminate RATs. Detecting RATs is quite a difficult task as they are installed under a random name that may seem like any other common application, and so you need to have a really good Antivirus program for that.

Monitoring your network can also be a good way to detect any Trojan sending your personal data over the internet.

If you don’t use Remote Administration Tools, disable Remote Assistance connections to your computer. You will get the setting in SystemProperties > Remote tab > Uncheck Allow Remote Assistance connections to this computer option.

Keep your operating system, installed software and particularly security programs updated at all times. Also, try not to click on emails that you don’t trust and are from an unknown source. Do not download any software from sources other than its official website or mirror.

After the RAT attack

Once you know you’ve been attacked, the first step is to disconnect your system from the Internet and the Network if you are connected. Change all your passwords and other sensitive information and check if any of your accounts has been compromised using another clean computer. Check your bank accounts for any fraudulent transactions and immediately inform your bank about the Trojan in your computer. Then scan the computer for issues and seek professional help for removing the RAT. Consider closing Port 80. Use a Firewall Port Scanner to check all your Ports.

You can even try to back-track and know who was behind the attack, but you’ll need professional help for that. RATs can usually be removed once they are detected, or you can have a fresh installation of Windows to completely remove it off.

Common Remote Access Trojans

Many Remote Access Trojans are currently active now and infecting millions of devices. The most notorious ones are discussed here in this article:

1. Sub7: ‘Sub7’ derived by spelling NetBus (an older RAT) backward is a free remote administration tool that lets you have control over the host PC. The tool has been categorized into Trojans by security experts, and it can be potentially risky to have it on your computer.
2. Back Orifice: Back Orifice and its successor Back Orifice 2000 is a free tool that was originally meant for remote administration – but it didn’t take the time that the tool got converted into a Remote Access Trojan. There has been a controversy that this tool is a Trojan, but developers stand upon the fact that it is a legitimate tool that provides remote administration access. The program is now identified as malware by most of antivirus programs.
3. DarkComet: It is a very extensible remote administration tool with a lot of features that could be potentially used for spying. The tool also has its links with the Syrian Civil War where it is reported that the Government used this tool to spy on civilians. The tool has already been misused a lot, and the developers have stopped its further development.
4. sharK: It is an advanced remote administration tool. Not meant for beginners and amateur hackers. It is said to be a tool for security professionals and advanced users.
5. Havex: This trojan has been extensively used against the industrial sector. It collects information including the presence of any Industrial Control System and then passes on the same information to remote websites.
6. Sakula: A remote access Trojan that comes in an installer of your choice. It will depict that it is installing some tool on your computer but will install the malware along with it.
7. KjW0rm: This Trojan comes packed with a lot of capabilities but already marked as a threat by many Antivirus tools.

These Remote Access Trojan have helped many hackers compromise millions of computers. Having protection against these tools is a must, and a good security program with an alert user is all it takes to prevent these Trojans from compromising your computer.

This post was meant to be an informative article about RATs and does not in any way promote their usage. There may be some legal laws about the usage of such tools in your country, in any case.

Read more about Remote Administration Tools here.

Related posts

• DLL-eltérítési sebezhetőségi támadások, megelőzés és észlelés

• Távfelügyeleti eszközök: kockázatok, veszélyek, megelőzés

• Bundleware: Meghatározás, megelőzés, eltávolítási útmutató

• Böngésző-eltérítő és ingyenes böngésző-eltérítő-eltávolító eszközök

• Ingyenes kártevő-eltávolító eszközök bizonyos vírusok eltávolítására a Windows 11/10 rendszerben

• Hogyan azonosítja a Microsoft a rosszindulatú programokat és a potenciálisan nem kívánt alkalmazásokat?

• Rosszindulatú támadások: meghatározás, példák, védelem, biztonság

• A rosszindulatú programok megelőzése – Tippek a Windows 11/10 biztonságához

• Mi az a Win32:BogEnt és hogyan lehet eltávolítani?

• A Chromium Virus eltávolítása a Windows 11/10 rendszerből

• Microsoft Windows Logo folyamat a Feladatkezelőben; Ez egy vírus?

• Rogue Security Software vagy Scareware: Hogyan lehet ellenőrizni, megelőzni, eltávolítani?

• A sikertelen keresési hiba javítása a Chrome Malware Scanner futtatásakor

• Távolítsa el a vírust az USB Flash meghajtóról a parancssor vagy kötegfájl segítségével

• Kibertámadások – meghatározás, típusok, megelőzés

• A Driver Tonic eltávolítása vagy eltávolítása a Windows 10 rendszerből

• Az Avast Boot Scan használata a rosszindulatú programok eltávolítására a Windows PC-ről

• Mi az a FileRepMalware? El kell távolítani?

• Hogyan kaphat számítógépes vírust, trójai programot, munkát, kémprogramot vagy rosszindulatú programot?

• Hogyan ellenőrizhető, hogy egy fájl rosszindulatú-e vagy sem a Windows 11/10 rendszeren