40 ответов в этой теме

[АВаТар]

Прочитал статью в журнале "Хакер" за ноябрь 2015 о кейлоггерах. В частности, заинтересовала информация о кейлоггере "The Rat". Про него пишут, что он может очень хорошо скрываться в работающей вместе с ним системе.

 

Вероятно, это потенциально опасно для рядового пользователя, не знающего об установленном у него кейлоггере "The Rat". Что вы думаете об этом?

[Ivan Korolev]

Можно было для начала предоставить ссылку на информацию о том, что вы хотите обсудить.

[GEV]

M$ win10, relax.  

[АВаТар]

Страничка, с которой я скачивал себе журнал "Хакер" - http://www.diakov.net/7977-haker-11-noyabr-2015.html

 

Не написал сразу, т.к. побоялся, что сочтут за рекламу чего-нибудь...

 

К тому же, у всех есть Гугл...

Или доставка бумажной версии на дом, в офис.

[АВаТар]

GEV, Про M$ win10, касаемо "The Rat", в статье ничего сказано не было. Зато есть вот это:

Отдельно существует лишь старый The Rat v.10, оптимизированный под Windows XP. Последний же релиз — The Rat v.13 Lucille был создан в мае этого года.

Сообщение было изменено АВаТар: 30 Ноябрь 2015 - 21:17

[АВаТар]

Приподниму маленько тему. Оттуда же:

К плюсам The Rat также можно отнести его невидимость в списке процессов для всех известных вьюверов, полное отсутствие записей в реестре, умение обходить некоторые программные файрволы (в том числе и с проверкой контрольных сумм файлов) и возможность самоуничтожиться в указанное время, при которой не остается следов и не требуется перезагрузка.

 

Минус у кейлоггера один — предсказуемый и существенный: в настоящее время его файлы определяются большинством антивирусов. Поэтому перед использованием на целевом компьютере их придется доработать упаковщиками с функцией шифрования или обфускации кода.

 

[Konstantin Yudin]

а что тут хотите обсудить то? не могу понять мессадж поста

[АВаТар]

Интересно, сможет ли Dr.Web обнаружить и удалить The Rat, если антивирус был установлен после этого кейлоггера.

 

Ну и вообще, велика ли опасность жить в будущем с неопределяемым червём. Насколько это реально? Может всё это и фигня, я ж не знаю... зря волнуюсь?...

[Konstantin Yudin]

дадите бинарь проверим что за зверь.

>Ну и вообще, велика ли опасность жить в будущем с неопределяемым червём. Насколько это реально?

это не реально. скрыться целиком в ОС Windows нельзя по определению. он может быть не определяем только если он никому не интересен.

[АВаТар]

Бинарь добывать влом. Там всё как у вас: либо демо, либо за деньги.

 

Демо, наверное, не представляет интереса. За деньги - лучше не буду. Поэтому остаётся мне, что только потеоретизировать, да порассуждать об этом.

Ключевая особенность всех последних версий TheRat — работа по принципу бестелесных вирусов. При запуске The RatKid, а также The Rat v.11 и выше не создается отдельных исполняемых файлов. Он запускается один раз из центра управления или модифицированного экзешника, а затем полностью скрывает следы пребывания и существует только в оперативной памяти. Любое штатное выключение и даже перезагрузка по короткому нажатию Reset оставляет его в системе. Удалить The Rat(Kid) можно отдельной утилитой Rat(Kid) Finder из комплекта соответствующей полной версии. Она обнаруживает сам клавиатурный шпион, отыскивает созданный им лог, позволяет изменить настройки и узнать горячие клавиши для отключения кейлоггера.

 

Альтернативный вариант его выгрузки — мгновенное обесточивание компьютера. Он действует только в том случае, если при установке кейлоггера не было предпринято дополнительных мер защиты. В настольных системах для этого потребуется выдернуть сетевой шнур, а у ноутбуков — аккумулятор. Простое выключение кнопкой бесполезно. «Крысу» размером пятьдесят килобайт легко сохранить не только в ОЗУ, но и в кеше процессора, накопителя, CMOS и любой другой доступной памяти, которая не обнулится при наличии дежурного источника питания.

 

Если же The Rat был присоединен к любому исполняемому файлу из списка автозапуска, то для удаления клавиатурного перехватчика после обесточивания компьютера придется сначала загрузить другую ОС и найти модифицированный экзешник. Лучше всего это делают дисковые ревизоры (такая функция есть, к примеру, у AVZ) и программы, способные вычислять хеш-функции.

 

Например, Autoruns сверит не только их, но и цифровые подписи объектов автозапуска, а все подозрительные файлы отправит на сервис онлайновой проверки VirusTotal. Впрочем, это не панацея. Малый файл кейлоггера не обязательно будет внедрен в другой. Он может существовать как спутник — например, в альтернативных потоках NTFS.

 

Достоинства

К плюсам The Rat также можно отнести его невидимость в списке процессов для всех известных вьюверов, полное отсутствие записей в реестре, умение обходить некоторые программные файрволы (в том числе и с проверкой контрольных сумм файлов) и возможность самоуничтожиться в указанное время, при которой не остается следов и не требуется перезагрузка.

 

Недостатки

Минус у кейлоггера один — предсказуемый и существенный: в настоящее время его файлы определяются большинством антивирусов.

У меня своего опыта маловато будет, чтобы оценить процитированное. Теоретически, думаю, такое возможно... но вот практически!? - непонятно...

 

Здесь же есть более спецы, чем я.  

[basid]

Типичный вирус. И обнаруживается типичным антивирусом.

Что комментировать-то?

[АВаТар]

basid, Вообще-то, это не вирус. Малварь, возможно...
 
Кстати, вот статья про этот кейлоггер. Наверное, это удобнее pdf-журнала.

 

Насчёт "обнаруживается типичным антивирусом" - об этом сказано в статье. Но! это если он устанавливается в систему с антивирусом. Меня интересует, что будет, если будет наоборот - сначала кейлоггер поселяется в системе, а потом на неё же устанавливают антивирус. Из статьи как бы следует, что антивирус его не обнаружит.

[basid]

С чего вдруг "не обнаружит"?
Низкоуровневое чтение с диска и разбор файловых структур, включая альтернативные потоки, реестр и прочие места, куда ныкаются "бестелесые вирусы", как бы, базовый функционал.

[АВаТар]

В реестр он ничего не пишет. На диск что-то куда-то - да, пишет. Но мало ли что...

 

Идея "скрыться так, что никто этого знать не будет" не катит? Прикинуться "мусором", или получить управление на уровне драйвера/ядра не возможно?

[basid]

Проблема не в идее ("Жаль, у меня ещё столько идей было") - проблема в реализации.

[v.martyanov]

Без семпла - демагогия. Так что надо закрывать.

[АВаТар]

Так может, всё уже реализовано? И даже не в этой программе, а в другой?

Сэмпл покупать ради удовлетворения своего любопытства не хочу.

Если больше никто ничего не хочет сказать по этому поводу, то можно и закрыть.

Только, нужно ещё какое-то(?) время подождать потенциальных собеседников.

[SergSG]

Идея "скрыться так, что никто этого знать не будет" не катит? Прикинуться "мусором", или получить управление на уровне драйвера/ядра не возможно?

Уже все созрели, даже аналитики - семпл в студию!

[v.martyanov]

TDSS, не к ночи он будь помянут, и то научились обнаруживать в свое время...

[АВаТар]

SergSG, ну нету у меня сэмпла!

С сэмплом, конечно, будет всё ясно. Не ясно только, а что будет с другим сэмплом, который ещё не написан.