Компьютерный шпион The Rat! — обнаружить и удалить

Примеры защиты от шпионов

Шпион The Rat работает по принципу бестелесных вирусов. При запуске кейлоггера не создается отдельных исполняемых файлов. Он запускается один раз из центра управления или модифицированного экзешника, а затем полностью скрывает следы пребывания и существует только в оперативной памяти. Шпион отправляет украденные данные, логины и пароли по почте или на FTP сервер, указанный в настройка кейлоггера.

Обнаружение и защита от шпиона-кейлоггера The Rat!

The Rat! может быть установлен на компьютер методом социальной инженерии – кейлоггер присоединяется к безобидному файлу (игре, архиву с документами, …) и при открытии его будет незаметно для пользователя установлен. Помимо традиционных функций клавиатурного шпиона, программа может отслеживать действия в окнах приложений и реагировать на слова, а также делать скриншоты экрана при каждом нажатии на клавишу Enter. Особенностью кейлогера является работа по принципу бестелесных вирусов. При его запуске не создается отдельный исполняемый файл. После запуска из центра управления он находится только в оперативной памяти, и перезагрузка компьютера не удаляет его из системы.

Нам показалась эта шпионская программа достаточно опасной, поэтому мы решили написать инструкцию по ее обнаружению и удалению. Поскольку kейлоггер передает собранную информацию на электронный адрес или FTP сервер, он обнаруживается в сетевом мониторе COVERT Pro. Процесс шпиона The Rat! имеет название socketwe.exe. Для блокировки передачи данных следует этот процесс добавить в базу угроз маскировщика.

В мониторе “Процессы системы” мы тоже обнаруживаем socketwe.exe.

Если этот процесс не скрывает свое присутствие в системе, тогда он будет выделен красным цветом в списке процессов. Ну а если он себя будет скрывать, тогда его можно будет обнаружить в мониторе скрытых процессов.

Скрытый процесс socketwe.exe от шпиона TheRat

Основным файлом кейлоггера является библиотека rtsnf.dll. Ее присутствие обнаруживается в окне “Монитор DLL”. Если название будет другое, шпионскую библиотеку все равно можно будет увидеть в этом мониторе, и она будет выделена желтым цветом, как неопознанная и не принадлежащая системе.

Библиотека rtsnf.dll от кейлоггера TheRat

Больше компонентов шпионской программы The Rat! в системе нет и можно приступить к их удалению.

В мониторе “Процессы системы” открываем папку с установленным шпионом и затем через контекстное меню завершаем процесс socketwe.exe. Удаляем socketwe.exe из открытой папки.

Потом в окне “Монитор DLL” следует отключить библиотеку rtsnf.dll через контекстное меню.

Если библиотека кейлоггера успешно отключена, строка с ее именем будет подсвечена серым цветом. Шпионская программа удалена. Теперь следует перезагрузить компьютер.

Если в силу каких-либо обстоятельств вы не хотите удалять кейлоггер с компьютера, но вам необходимо периодически выполнять конфиденциальную работу, просто входите в защищенную платформу COVERT Pro и спокойно работайте. Шпионская программа не сможет перехватить клавиатурный ввод, сделать скриншот и передача ею данных будет заблокирована. После того, как вы выйдите из платформы маскировщика, The Rat! продолжит собирать информацию и отправлять ее на электронный адрес хозяина или на сервер.

Скачайте программу антишпион — маскировщик COVERT Pro и проверьте - осуществляется ли за вами скрытая слежка при помощи шпиона кейлоггера TheRat!

Вернуться назад