• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

ВАЖНО AntiRMS или отключаем удаленный доступ и контроль над пользователем (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

Был ли у Вас опыт борьбы с ПО для удаленного доступа?

  • А что такое "ПО для удаленного доступа".

    Голосов: 0 0.0%

  • Всего проголосовало
    10

UserOK

Уважаемый пользователь
Форумчанин
Регистрация
04.11.2014
Сообщения
205
Репутация
109
Выкладывайте сюда методы обнаружения и борьбы с RMS, Rat, Dark comet, botnet и другими "скрытыми" сборками для удаленного управления и контроля.
 

UserOK

Уважаемый пользователь
Форумчанин
Регистрация
04.11.2014
Сообщения
205
Репутация
109
Как известно любую проблему легче предупредить,чем лечить,поэтому сначала пару слов как не залететь попасть в неловкую ситуацию и не подхватить непрошенного гостя.
1. Установите хороший антивирус или поставьте дополнительно фаервол.Следите за своевременным обновлением антивирусных баз.Не надейтесь на удачу.Даже опытные пользователи иногда ошибаются.
2. Старайтесь качать любое ПО и информацию из проверенных и надежных источников.Обходите стороной такие файлообменники как RGhost,sendspace и некоторых облачных хранилищ т.к. на них нет проверки вредоносного и опасного ПО.Если же часто приходится качать с них, обязательно выполните пункт 1.
3. Тщательно проверяйте всякие кейгены,патчи,кряки, и прочие взломщики легального софта.Нередко они бывают с "подарками"
4. Не спешите открывать файлы подозрительного содержания. Например, документ с значком word размером в 3 Mb или более.Это может быть "склейка" (что это такое см.далее)."Склейка"- несколько файлов, объединенных в один, с целью скрытия,маскировки и незаметного запуска вредоносного ПО. Если возникли подозрения,посмотрите расширение файла . .Это можно сделать через файловый менеджер типа total commander. В колонке "Тип" будет расширение файла.Либо стандартными способами windows.Для win 7 это: "упорядочить--параметры папок и поиска--вид--снять галочку "скрывать расширения для зарегистрированных типов файлов"
Не может быть документа или картинки с расширением *.exe QIP Shot - Screen 001.png . Не спешите открывать файлы типа этого(если не включено отображение расширений)QIP Shot - Screen 003.png так как включив отображение расширения файла вы увидите это QIP Shot - Screen 002.png .
5.Если приходится работать с потенциально опасным ПО,делайте это на виртуальной машине,желательно отключив общие папки и по возможности интернет соединение на ней.

 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 397
Репутация
7 885
Telegram
Если некриптованая то всё очень просто, достаточно любым сканером, например из этой темы:Антивирусные сканеры

В принципе должны обнаруживать на дефолте, но можно на всякий случай посмотреть чтобы были активированы галочки: "Обнаруживать потенциально-опасное ПО", "Обнаруживать нежелательное ПО" !

Если-же криптованая, то можно посмотреть автозагрузку и службы на предмет подозрительных элементов:

Пуск->Выполнить и ввести "msconfig", далее "Автозагрузка" и смотрим есть-ли подозрительные программы:

Пример у меня:

upload_2015-12-24_12-27-50.png


Далее в службах можно включить "Не отображать службы Майкрософт" и всё как на ладони:

upload_2015-12-24_12-29-1.png


Редко бывает там, но рекомендую также проверить "Планировщик задач", там может-быть "Отложенный запуск" вирусов !

В общем-то этого и достаточно, что-бы убедится есть-ли троян или нет ! :)
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
429
Репутация
130
Firewall лично юзаю авг интернет секьюрити :3
 

Rufus

Уважаемый пользователь
Форумчанин
Регистрация
14.12.2014
Сообщения
247
Репутация
142
Jabber
Если-же криптованая, то можно посмотреть автозагрузку и службы на предмет подозрительных элементов:
У некоторых юзеров в автозагрузке чёрт ногу сломит (такую винду проще сжечь вместе с хозяином).Да и дефолтный "msconfig" мягко говоря не очень информативный и удобный инструмент.Вот AnvirTaskManager дельная тулза,информативная,малоресурсоёмкая,ну и за автозагрузкой на автомате следить может.
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
429
Репутация
130
У некоторых юзеров в автозагрузке чёрт ногу сломит (такую винду проще сжечь вместе с хозяином).Да и дефолтный "msconfig" мягко говоря не очень информативный и удобный инструмент.Вот AnvirTaskManager дельная тулза,информативная,малоресурсоёмкая,ну и за автозагрузкой на автомате следить может.
Помню ко мне в комету попал человек с анвиром: прото сунул портейбл версию криптованой кометы в папку автозагрузки ярлыком. Анвир ничего не заподозрил, потом назвал ярлык AnvirTaskManager и все :)
 

Rufus

Уважаемый пользователь
Форумчанин
Регистрация
14.12.2014
Сообщения
247
Репутация
142
Jabber
Помню ко мне в комету попал человек с анвиром: прото сунул портейбл версию криптованой кометы в папку автозагрузки ярлыком. Анвир ничего не заподозрил, потом назвал ярлык AnvirTaskManager и все :)
Бля...понятно,что нет стопроцентой защиты,но анвир куда лучше стандартной утилиты.
А как ты сунул портейбл версию?Изначально был установлен удалённый доступ?
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
429
Репутация
130
Бля...понятно,что нет стопроцентой защиты,но анвир куда лучше стандартной утилиты.
А как ты сунул портейбл версию?Изначально был установлен удалённый доступ?
Ну да я тогда был онлайн сидел в комете смотрел юзеров вижу новый появляется смотрю демку у него анвир предупреждение выдает он блокирует запись в автозапуск (жмет кнопку заблокировать). Ну и все я прото перекинул в Windows вроде портейбл, потом ярлык сунул в папку автозагрузки)
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 397
Репутация
7 885
Telegram
Помню ко мне в комету попал человек с анвиром: прото сунул портейбл версию криптованой кометы в папку автозагрузки ярлыком. Анвир ничего не заподозрил, потом назвал ярлык AnvirTaskManager и все :)
msconfig это мониторит ! ;)