Немного о RAT вирусах и о том, Как работать с DarkComet-RAT?

RAT — это у нас Крыса.. но в данном случае это аббревиатура троянского вируса, при помощи которого злоумышленник получает удалённый доступ к ПК какого-либо пользователя.

Википедия например пишет, точнее переводит такую аббревиатуру, как Remote Administration Tool, то есть инструмент для удалённого управления.. на самом же деле RAT расшифровывается как Remote access trojan, то бишь Троян-программа для удалённого доступа.

Программа DarkComet RAT (или же просто «Комета»). Эта программа и её функционал (в отличие от той же RMS — это не сколько вирус, сколько лицензионное ПО, которая является именно Remote Administration Tool) выступает самым настоящим трояном. RMS же был популярным так как он какое то время не определялся антивирусом, а также для него не нужно открывать порты.

Remove MalwareRMS

RAT состоит из двух частей, из клиентской части и серверной. На ПК злоумышленника устанавливается именно клиентская часть, при помощи которой уже создаётся серверная часть. И вот эту серверную часть необходимо установить на ПК жертвы.
После установки происходит сопряжение после которого получается удалённый доступ.

Серверная часть - Клиентская часть

У этого удалённого доступа нет никаких границ, однако в 2012 году проект DarkComet RAT был закрыт так как автор не стал нести ответственность за незаконное использование его программы. По его же словам эта программа должна выступать как Утилита, а не как Malware.

Вот таким образом выглядит интерфейс DarkComet-RAT:

DarkComet-RAT_1DarkComet-RAT_2DarkComet-RAT_3DarkComet-RAT_4

Вкладка Users — это список жертв.
On connect — менеджер заданий.
Users log — собственно лог записей.
Socket / Net — прослушиваемые порты.

В ознакомительных целях.. Жертвой в данном случае будет выступать моя вторая виртуальная машина. Таким образом мы попробуем на практике сделать некоторые вещи.

Нажав на главную кнопку данной программы мы видим основное меню:

DarkComet-RAT_5DarkComet-RAT_6DarkComet-RAT_7DarkComet-RAT_8DarkComet-RAT_9DarkComet-RAT_10DarkComet-RAT_11DarkComet-RAT_12DarkComet-RAT_13

Listen to new port — Прослушиваемый Порт.
Client Settings — Настройки клиента. (Здесь мы можем найти всю основную информацию..)
— Выбрать функции, которые Вы хотите включить или выключить.
— Подключить FTP менеджер.
— Подключить no-ip аккаунт. (так как для программы нужен статический ip)
— Pushme уведомления.
— Есть Менеджер Групп.
— Блокнот с заданиями.
— Менеджер Базы Данных. (для просмотра паролей которые здесь вводились + keylogger)
— И далее идёт Отказ от ответственности и лицензионное соглашение.
— Поиск обновлений.
— Об авторе данного приложения. (где кстати сказано, что программа была написана на Delphi и Assembler).

Теперь посмотрим как же создаётся серверная часть, которая распространяется жертвам..

DarkComet-RAT_14

Server module -> Minimalist (Quick)

DarkComet-RAT_15DarkComet-RAT_16DarkComet-RAT_17DarkComet-RAT_18DarkComet-RAT_19DarkComet-RAT_20DarkComet-RAT_21DarkComet-RAT_22DarkComet-RAT_23DarkComet-RAT_24

В основном меню серверной части отображается:
Пароль для запуска.
Настройка IP адреса и прослушиваемого порта.
Добавление кометы в Автозапуск. (хотя галочку в данном случае лучше не ставить, злоумышленники обычное ставят, так как это слегка может выдать..)
Модуль защиты
— Например можно скрыть в меню msconfig в разделе Автозагрузка данное приложение.
— Также есть стойкость процесса, чтобы через диспетчер задач его нельзя было убить / удалить. — Ну и конечно скрыть серверную часть под видом «explorer».

! Выставим эти 4 галочки чтобы увидеть как это будет выглядеть.

— Также там есть меню Деактивировать диспетчер задач
— Деактивировать реестр
— Деактивировать Firewall (Работает от XP SP3 до Windows 7)
— И ниже там есть даже настройки от XP SP2 и ниже.

! Выставим первые 3 галочки чтобы увидеть как это будет выглядеть.

— Там также есть меню с Keylogger и FTP клиентом
— Host File (Это подмена сайтов, чтобы вместо ВК например открывался «фейк-ВК»)
— Меню для плагинов
— Меню для скрещивания серверной части с каким-либо другим файлом .bat
— Выбор иконки
— Выбор расширения «финиша».

Нажимаем кнопку Build The Stub и таким образом начинаем запуск нашей склейки и в итоге посмотрим как будет выглядеть сам Вирус.

На рабочем столе (туда я его сохранил) у нас появился файл с расширением .exe . Антивирус кстати отключён.. и при активации у нас появляется.. удалённый доступ.. Что происходит мы узнать не можем так как диспетчер задач отключен.. в итоге остаётся только один вариант. загрузиться в безопасном режиме или попытаться его как-то удалить.


Точно такой же вирус запущен на моей виртуальной машине, посмотрим какие возможности у него открываются. Дважды кликаем на нашу Жертву, под видом которой выступает моя вторая вирт машина. и посмотрим какие забавные штуки можно делать..

DarkComet-RAT_25DarkComet-RAT_26DarkComet-RAT_27DarkComet-RAT_28DarkComet-RAT_29DarkComet-RAT_30

Fun Functions:
Fun Manager (в этом меню можно скрыть часы, скрыть панель управления и т.д.)
— Раздел Piano
— Вывести сообщение с любым текстом

Это самые безвредные функции программы..

А ведь есть ещё диспетчер задач, управление коммандной строкой, открытие и изменение реестра, Добавление скриптов, файловый менеджер. Удалённый доступ, Кейлоггер через который можно увидеть введённые пароли адреса и т.д. Так что, такое вот интересное вредоностное ПО.. Спасибо за прочтение.

Ужасно..Плохо..Нормально!Хорошо!Отлично! (1 баллов: 5,00 оценок)
Загрузка...

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *