Как выглядит ратник вирус

Обновлено: 23.04.2024

Троян удаленного доступа (RAT) - это тип вредоносного ПО, которое позволяет хакерам отслеживать и контролировать ваш компьютер или сеть. Но как работает RAT, почему хакеры их используют и как их избежать?

Если вам когда-либо приходилось вызывать техподдержку для ПК, то вы, вероятно, знакомы с магией удаленного доступа. Когда удаленный доступ включен, авторизованные компьютеры и серверы могут контролировать все, что происходит на вашем ПК. Они могут открывать документы, загружать программное обеспечение и даже перемещать курсор по экрану в режиме реального времени.

RAT - это тип вредоносного ПО, очень похожий на легальные программы удаленного доступа. Основное отличие, конечно, заключается в том, что RAT устанавливаются на компьютер без ведома пользователя. Большинство легитимных программ удаленного доступа созданы для технической поддержки и обмена файлами, а RAT - для слежки, взлома или уничтожения компьютеров .

Подобно большинству вредоносных программ, RAT встраиваются в легитимные файлы. Хакеры могут прикрепить RAT к документу по электронной почте или в большом программном пакете, например в видеоигре.

Рекламные объявления и вредоносные веб-страницы также могут содержать RAT, но большинство браузеров предотвращают автоматическую загрузку с веб-сайтов или уведомляют вас, когда сайт небезопасен.

Вообще говоря, RAT не замедляет работу вашего компьютера, и хакеры не всегда выдают себя, удаляя файлы или перемещая курсор по экрану. В некоторых случаях пользователи заражённые RAT, годами не замечают ничего плохого.
Большинство компьютерных вирусов сделаны с единственной целью. Кейлоггеры автоматически записывают все, что вы вводите, вымогатели ограничивают доступ к вашему компьютеру или его файлам до тех пор, пока вы не заплатите, а рекламное ПО выдает сомнительную рекламу на ваш компьютер для получения прибыли.

Но крысы особенные. Они дают хакерам полный анонимный контроль над зараженными компьютерами.

Кроме того, хакеры могут использовать RAT для скрытой активации веб-камеры или микрофона компьютера.

Хакер с RAT может стереть ваш жесткий диск, загрузить нелегальный контент из Интернета через ваш компьютер. Хакеры также могут удаленно управлять вашим компьютером, чтобы выполнять незаконные действия в Интернете от вашего имени, или использовать вашу домашнюю сеть в качестве прокси-сервера для анонимного совершения преступлений.

Хакер также может использовать RAT, чтобы взять под контроль домашнюю сеть и создать ботнет.

По сути, ботнет позволяет хакеру использовать ваши компьютерные ресурсы для выполнения часто нелегальных задач, таких как DDOS-атаки, майнинг биткойнов, хостинг файлов и торрент. Иногда эту технику используют кибер преступники или во время кибервойны.

Не беспокойся. Крыс легко избежать

Если вы хотите избежать RAT, не загружайте файлы из источников, которым вы не можете доверять.

Вы не должны открывать вложения электронной почты от незнакомых людей (или потенциальных работодателей)

Вы не должны загружать игры или программное обеспечение с не официальных веб-сайтов и не должны качать торрент-файлы, если они не из надежного источника.

Обновляйте ваш браузер и операционную систему с помощью исправлений безопасности.

Конечно, вы должны включить антивирусное программное обеспечение. Защитник Windows входит в комплект поставки вашего ПК (и, честно говоря, это отличное антивирусное программное обеспечение), но если вам нужна дополнительная защита, вы можете загрузить коммерческое антивирусное программное обеспечение.

Поскольку большинство хакеров используют известные RAT (вместо того, чтобы разрабатывать свои собственные), антивирусное программное обеспечение является самым простым способом поиска и удаления RAT с вашего компьютера.

Если у вас запущен антивирус, но вы все еще параноидально чувствуете, что на вашем ПК есть RAT, вы всегда можете отформатировать компьютер . Это решительная мера, но вероятность успеха составляет 100% Если антивирусное программное обеспечение не находит RAT, то, вероятно, у вас нет RAT.

Что вы думаете о вредоносных программах? Дайте нам знать в комментариях ниже.

RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.

На самом деле шпионская программа RAT это один из наиболее опасных вредоносных программ, который позволяет злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.

Как работает программа RAT?

RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. Всё. с этого момента компьютер жертвы под полным контролем злоумышленника.

Возможности трояна RAT

Популярные RAT-программы

• DarkComet Rat
• CyberGate
• ProRAT
• Turkojan
• Back Orifice
• Cerberus Rat
• Spy-Net

Какая самая лучшая программа RAT?
Лучший троян RAT на сегодня это DarkComet Rat(на хаЦкерском жаргоне просто Камета)

Как происходит заражение RAT-трояном?

Заражение вирусом RAT происходит почти также как другими вредоносными программами через:

• Массовое заражение на варез и торрент сайтах.
• Скрипты(эксплойты) на сайтах, которые без вашего ведома загружают RAT на ваш компьютер.
• Стои отметить что, в большинстве заражение RAT-трояном происходит не от массового а от целенаправленное заражение вашего компьютера друзьями или коллегами.

Кстати не всегда антивирусное по в силах предотвратить заражение, некоторые антивирусы попросту не детектируют вредонос, так как сегодня уже никто не посылает просто трояна, сегодня его предварительно криптуют(что такое крипт и как это делают мы расскажем в другой статье).

Как предотвратить заражение троянской программой RAT?

• Не открывать не знакомые файлы, которые вы получаете по почте.
• Пользоваться безопасными браузерами.
• Качать и устанавливать программы только с сайта разработчика.
• Не допускать физического контакта с компьютером посторонних людей.
• Удалить к чертям антивирус и поставить хороший фаервол и хороший сниффер. Можете конечно оставить антивирус, я понимаю привычка дело такое…, но фаерволом пользоваться вам надо обязательно. Но а если научитесь юзать сниффер, то в моих глазах станете продвинутыми юзверями, без пяти минут специалистами в области компьютерной безопасности ))!

Как понять что у вас троянская программа RAT?

Понять что у вас на компьютере установлен РАТ очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:

• Странная сетевая активность в фаерволе, в частности высокий исходящий трафик.
• Комп начал тормозить или скорость интернета значительно просела.
• У вас увели пароль от соц. сетей или почты.
• Подозрительный трафик в сниффере.

Как вылечить заражённый трояном компьютер?

Обнаружить троян RAT довольно сложно. Можно скачать бесплатные антивирусы с обновлёнными базами, к примеру отличный на мой взгляд сканер AVZ и просканировать компьютер. На самом деле если вы мало разбираетесь в компьютерах легче не искать иголку в стоге, а предварительно сохранив важные документы отформатировать комп и установить Windows заново.

Кстати устанавливая взломанную Windows вы рискуете заразится вирусом уже на этапе установки. Так как некоторые левые сборки которые раздаются в сети имеют уже вшитые закладки, шпионы, вирусы, скрытые радмины, рмсы и другую красоту. Я знал одного компьютерного мастера который само того не зная устанавливал на машины клиентов левую сборку Windows, знаменитую протрояненную ZverCD.

Похожие статьи

Как установить GNOME на Kali Linux

Лучший WiFi-адаптер для Kali Linux (цена-качество)

Работа TP-Link WN722N в режиме монитора на Kali Linux

10 комментариев

да без крипта не прокатит, антивир пропалит сразу.
а крипт денег стоит

крипт бесплатен был, бесплатный есть и бесплатным будет.

хорошая статья но автор забыл написать ещё про рат PI

Все ответы на ваши вопросы будут в отдельной статье.

Знаю таков троян, есть много КРЕАТОРОВ таких троянов — на пример самый простой — Dark Comet.
Сам кстати пользуюсь такими креаторами, но ничего вредоносного не делаю, максимум просто по прикалываться.
И это интересно, ещё есть один креатор — называется LinkNet.
Вроде его один поц сделал, на ютубе видосы есть, написан на delphi.
У него ООООЧЕНЬ большой функционал.
Кому надо просто введите LinkNet — CSG Chanell. (Вроде так канал называется.)
Сама прога платная, вроде. Но в коментах под видео некоторые говорят что есть бесплатная версия проги, не знаю крч.

Удалить ратник проще некуда, нужно зайти в автозагрузку и удалить все неизвестные программы из автозагрузки или все, затем перезагрузить ПК также можно заглянуть в планировщик задач и посмотреть там некие странные задания и удалить их.

У DarkComet есть такая функция: Persistant Process и Persistent Startup. Когда ты попытаешься закрыть процесс, не выйдет. Когда попытаешься удалить из автозагрузки: не выйдет. Даже в безопасном режиме не прокатит! Никак! И что чайник будет делать? А если он хорошо закриптован, то его никак не найти! И антивирус его удалять не будет! И никакая программа не поможет, кроме переустановки Windows.

warning

Не­сан­кци­они­рован­ный дос­туп к компь­ютер­ной информа­ции — прес­тупле­ние. Ни автор, ни редак­ция жур­нала не несут ответс­твен­ности за твои дей­ствия. Все тес­ты про­води­лись на изо­лиро­ван­ных от реаль­ных дан­ных вир­туаль­ных машинах.

Вот спи­сок рат­ников, которые мы сегод­ня поп­робу­ем:

• Cerberus 1.03.5;
• CyberGate 1.07.5;
• DarkComet 5.3;
• Orcus Rat 1.9.1;
• NjRat Danger Edition 0.7D;
• Venom 2.1.

Для некото­рого изу­чения бил­дов наших рат­ников я буду исполь­зовать Detect It Easy вер­сии 3.01.

Оце­нивать их будем по сле­дующим кри­тери­ям:

• на­бор пред­лага­емых фун­кций;
• ско­рость раз­верты­вания в целевой сис­теме;
• наг­рузка на компь­ютер жер­твы;
• уро­вень защиты кода бил­да (поп­робу­ем раз­ревер­сить билд);
• про­вер­ка на VirusTotal;
• плю­сы и минусы в целом.

А теперь прис­тупим к ана­лизу.

Cerberus

Интересные функции

Описание

Ско­рость работы высокая: на все про все наг­рузке тре­бует­ся око­ло пяти секунд. При работе занима­ет 7,3 Мбайт памяти и прак­тичес­ки не наг­ружа­ет про­цес­сор.

Про­буем заг­рузить билд в DiE. Виден Borland Delphi и UPX, на который как раз и руга­ются некото­рые анти­виру­сы.

Про­вер­ка на VirusTotal

Вердикт

Cerberus хорошо под­ходит для дол­говре­мен­ного пре­быва­ния в сис­теме. Его про­ще под­сунуть жер­тве из‑за воз­можнос­ти менять рас­ширение фай­ла.

Из минусов — рас­познать Windows 10 при работе он не смог, ну и анти­виру­сами палит­ся при­лич­но, так что при­дет­ся крип­товать. Ком­пилятор малость уста­рел, а при запус­ке он вне­зап­но изда­ет звук, который совер­шенно не спо­собс­тву­ет незамет­ному зараже­нию.

CyberGate

Интересные функции

• Сбор све­дений об активной сес­сии
• Поз­воля­ет искать дан­ные на устрой­ствах
• Име­ется рас­ширен­ный объ­ем получа­емых дан­ных в панели

Описание

За­пуск и зак­репле­ние бил­да занима­ет око­ло 25 с — мед­ленно, даже по срав­нению с тем же Cerebrus. Наг­рузка на сис­тему нес­коль­ко выше, чем у кон­курен­тов; к тому же при запус­ке он соз­дает нес­коль­ко про­цес­сов и виден в дис­петче­ре задач. Пот­ребля­ет 0,1% про­цес­сора и 4,2 Мбайт памяти. Наг­ружа­ет диск на 100 Кбайт/с.

С защитой все стран­но: билд даже не пыта­ется скрыть очень боль­шое количес­тво импорти­руемых биб­лиотек и фун­кций из них. Обфуска­ции вызовов WinAPI нет, что не может не удив­лять.

Пос­ле ска­зан­ного выше детект 64/70 (91,4%) сов­сем не удив­ляет, но при про­вер­ке этой кры­сы на VirusTotal толь­ко один из 70 анти­виру­сов (eGambit) смог уста­новить точ­ное про­исхожде­ние вируса.

Пол­ные резуль­таты ска­ниро­вания

Вердикт

Да, билд палит­ся всем чем толь­ко мож­но, но прост как пал­ка и легок в исполь­зовании. Но и вырубить его лег­ко, он не будет осо­бен­но соп­ротив­лять­ся.

DarkComet

Интересные функции

• Име­ется два режима сбор­ки вируса (минималь­ный и рас­ширен­ный)
• Есть фун­кция под­клю­чения сокетов (можем проб­расывать под­клю­чения для повыше­ния безопас­ности)
• Мож­но зап­ланиро­вать дей­ствия
• Поз­воля­ет соз­дать ссыл­ку‑заг­рузчик для вируса

Описание

Сбор­ка бил­да тре­бует боль­ше минуты, что силь­но боль­ше обыч­ного для такого соф­та. Пос­ле запус­ка бил­да пот­ребля­ется 2,7 Мбайт ОЗУ, что сов­сем хорошо на фоне око­лону­лево­го пот­ребле­ния осталь­ных ресур­сов.

Билд сно­ва не нак­рыт никаким про­тек­торами или упа­ков­щиками. В импортах сра­зу замет­на user32.dll, из которой импорти­руют­ся модули mouse и keybd , и, конеч­но, фун­кция VkKeyScanA , которые поз­воля­ют сде­лать кей­лог­гер.

Про­вер­ка на VirusTotal

Вердикт

Продолжение доступно только участникам

Вариант 2. Открой один материал

Сценарий атаки

Обнаруженные нами образцы можно разделить на 2 группы.

Пример письма с вредоносным вложением, использующим DLL Hijacking:

В приложенном архиве находится защищенный RAR-архив и текстовый файл с паролем.

В архиве находится дроппер в виде самораспаковывающегося RAR’а, внутри которого лежит сам BackDoor.RMS.180.

Ниже приведен пример письма с вложением, использующим MSI-пакет.

Помимо архива с вредоносной нагрузкой (BackDoor.RMS.181) и файла с паролем здесь находятся документы-пустышки.

В ходе исследования мы также обнаружили образец фишингового письма, содержащего ссылку на дроппер, который запускает установку утилиты Remote Utilities из настроенного MSI-пакета (детектируется Dr.Web как BackDoor.RMS.187). Здесь задействован несколько иной механизм распространения полезной нагрузки.

Анализ сетевой инфраструктуры, используемой злоумышленниками для распространения BackDoor.RMS.187, позволил найти еще несколько скомпрометированных сайтов, а также образец трояна Trojan.Gidra. По нашим данным, Trojan.GidraNET.1 использовался для первичного заражения системы при помощи фишингового письма с последующей загрузкой бэкдора, который скрыто устанавливал Remote Utilties.

Подробный разбор алгоритмов работы обнаруженного ПО читайте в вирусной библиотеке на нашем сайте. Ниже мы кратко рассмотрим эти вредоносные программы.

BackDoor.RMS.180

Троян-бэкдор, написанный с использованием компонентов программы Remote Utilities. Основной вредоносный модуль загружается посредством DLL Hijacking.

Самораспаковывающийся архив запускается скриптом:

Состав самораспаковывающегося дроппера:

• libeay32.dll (f54a31a9211f4a7506fdecb5121e79e7cdc1022e), чистый;
• ssleay32.dll (18ee67c1a9e7b9b82e69040f81b61db9155151ab), чистый;
• UniPrint.exe (71262de7339ca2c50477f76fcb208f476711c802), подписан действительной подписью;
• WinPrint.exe (3c8d1dd39b7814fdc0792721050f953290be96f8), подписан действительной подписью;
• winspool.drv (c3e619d796349f2f1efada17c9717cf42d4b77e2) — основной вредоносный модуль, обеспечивающий скрытую работу Remote Utilities.

Функции, отсутствующие в оригинальном модуле winspool.drv и не несущие функциональной нагрузки:

Экспорты с реальными именами содержат переходы к загружаемым в дальнейшем оригинальным функциям из легитимной библиотеки.

Некоторые API-функции выполняются через указатели на функции-переходники:

Функция get_proc ищет необходимую API-функцию разбором таблицы экспорта модуля, затем помещает найденный адрес вместо функции-переходника.
На первом этапе загружает подмененную библиотеку. Имя не зашито жестко, поэтому загружает библиотеку \ . Затем проходит свою таблицу экспорта и загружает оригинальные API-функции по ординалам, пропуская недействительные функции:

• значение равно 0x2ECF3 — первичный запуск с WinPrint.exe;
• значение равно 0xC9FBD1 — работа в контексте UniPrint.exe.

Когда запущен UniPrint.exe, бэкдор переходит к выполнению основных функций. Проверяет, имеет ли пользователь права доступа администратора. Затем устанавливает права доступа на директорию с модулем:

После этого записывает параметры General и Security в ключ реестра HKCU\SOFTWARE\WDMPrint и подготавливает значение параметра InternetID с помощью форматной строки.

Затем бэкдор создает скрытые окна MDICLIENT и RMSHDNLT:

Далее приступает к перехвату API-функций. Для этого использует библиотеку MinHook.

Подробная таблица с описанием перехватываемых функций находится на странице BackDoor.RMS.180 на нашем сайте.

Сетевая активность бэкдора реализована следующим образом. Вначале по дескриптору окна TEdit с помощью функции GetWindowTextA бэкдор получает InternetID, необходимый для удаленного подключения. Затем формирует GET-запрос вида:

Затем создает TCP-сокет. Проверяет значение глобальной переменной, в которой хранится порт для подключения с использованием протокола SSL (в рассматриваемом образце равен нулю). Если порт не равен нулю, то соединение выполняется по SSL посредством функций библиотеки SSLEAY32.dll. Если порт не задан, бэкдор подключается через порт 80.
Далее отправляет сформированный запрос. Если ответ получен, то ожидает в течение минуты и повторно отправляет запрос с InternetID. Если ответа нет, то повторяет запрос через 2 секунды. Отправка происходит в бесконечном цикле.

BackDoor.RMS.181

Исследованный образец представляет собой MSI-пакет с заранее настроенными параметрами удаленного управления, созданный с помощью MSI-конфигуратора из состава Remote Utilities Viewer. Распространялся в составе самораспаковывающегося 7z-дроппера (52c3841141d0fe291d8ae336012efe5766ec5616).

• host6.3_mod.msi (заранее настроенный MSI-пакет);
• installer.exe (5a9d6b1fcdaf4b2818a6eeca4f1c16a5c24dd9cf), подписан действительной цифровой подписью.

После распаковки дроппер запускает файл installer.exe, который, в свою очередь, запускает установку заранее настроенного MSI-пакета. Установщик извлекает и скрыто устанавливает Remote Utilities. После установки отправляет сигнал на управляющий сервер.

MSI-пакет содержит все необходимые параметры для тихой установки Remote Utilities. Установка выполняется в Program Files\Remote Utilities — Host в соответствии с таблицей Directory.

В соответствии с таблицей CustomAction установщик msiexec.exe запускает основной компонент пакета Remote Utilities rutserv.exe с различными параметрами, которые обеспечивают тихую установку, добавление правил сетевого экрана и запуск службы.

Параметры и настройки подключения заносятся в ключ реестра HKLM\Remote Utilities\v4\Server\Parameters. Значения параметров содержатся в таблице Registry:

Параметр CallbackSettings содержит адрес сервера, на который отправляется InternetID для прямого подключения.

BackDoor.RMS.187

Исследованный образец представляет собой MSI-пакет с заранее настроенными параметрами для скрытой установки и запуска Remote Utilities. Распространялся в составе вредоносного RAR-архива посредством фишинговой рассылки.

Запускается при помощи дроппера, который хранит установочный архив в секции ресурсов под именем LOG. Дроппер сохраняет MSI-пакет в директорию %TEMP% под именем KB8438172.msi и затем запускает с помощью установщика msiexec.exe. В дроппере находится путь к исходнику — C:\Users\Kelevra\Desktop\Source\Project1.vbp.

Этот образец примечателен способом распространения. На электронную почту жертвы приходит фишинговое письмо со ссылкой, маскирующейся под нужное пользователю вложение.

ateliemilano[.]ru и kiat[.]by — существующие сайты, при этом второй сайт принадлежит кадровому агентству. По нашим сведениям, они неоднократно использовались для загрузки троянов, а также для переадресации запросов на их загрузку.

Trojan.GidraNET.1

Исследованный образец трояна распространялся через скомпрометированные сайты. Он предназначен для сбора информации о системе с ее последующей передачей злоумышленникам по протоколу FTP, а также для загрузки вредоносного дроппера с MSI-пакетом для установки Remote Utilities.

Основная функциональность находится в методе readConfig, вызываемом из Form1_Load.

В начале своей работы собирает о системе следующую информацию:

• внешний IP-адрес;
• имя пользователя;
• имя ПК;
• версия ОС;
• сведения о материнской плате и процессоре;
• объем оперативной памяти;
• сведения о дисках и разделах;
• сетевые адаптеры и их MAC-адреса;
• содержимое буфера обмена.

Полученную информацию сохраняет в файл, затем делает снимок экрана.

Информацию о системе отправляет по протоколу FTP на сервер ateliemilano[.]ru.

В коде трояна зашиты логин и пароль от FTP-сервера. Для каждого зараженного компьютера создается отдельная директория.

После отправки информации загружает и запускает файл с другого скомпрометированного сервера.

Файлы, скачиваемые аналогичными образцами, представляют собой дропперы, написанные на Visual Basic, содержащие MSI-пакеты для скрытой установки Remote Utilities, такие как BackDoor.RMS.187.

В исследованном образце был найден путь к PDB-файлу: C:\Users\Kelevra\Desktop\Last Gidra + PrintScreen + Loader_ Main\Gidra\obj\Debug\Gidra.pdb. Имя пользователя Kelevra совпадает с именем пользователя в пути к файлу проекта в дроппере BackDoor.RMS.187: C:\Users\Kelevra\Desktop\Source\Project1.vbp. В аналогичных образцах встретились и другие варианты.

По найденной нами информации можно предположить, что в 2019 году автор Trojan.GidraNET.1 использовал этот троян для первичного заражения через фишинговое письмо с последующей загрузкой бэкдора, скрыто устанавливающего Remote Utilties.

Заключение

Бэкдоры на базе утилит для удаленного администрирования остаются актуальной угрозой безопасности и до сих пор применяются для атак на корпоративный сектор. В свою очередь фишинговые письма являются основным средством доставки полезной нагрузки на заражаемые компьютеры. Отличительная черта вредоносных вложений — архивация полезной нагрузки с использованием пароля, что позволяет письму преодолеть встроенные в почтовый сервер средства защиты. Другой особенностью является наличие текстового файла с паролем к поддельному архиву. Кроме того, использование вредоносной библиотеки и атаки DLL Hijacking обеспечивает скрытое функционирование ПО для удаленного управления на скомпрометированном устройстве.

AhMyth RAT (Remote Access Trojan) — это приложение с открытым исходным кодом, в настоящее время находится на стадии бета-версии. Программа ориентирована на пользователей Windows, но на GitHub можно найти исходники и для Unix-подобных платформ.

AhMyth RAT состоит из двух компонентов.

Серверное приложение, с помощью которого можно управлять зараженным устройством и генерировать файлы APK с вредоносным кодом. Создано оно на Electron framework — фреймворке, разработанном в GitHub для создания простых графических приложений.

Клиентский APK, содержащий вредоносный код, который позволяет получить удаленный доступ к зараженному устройству. То есть наш APK будет выполнять функции бэкдора.

Установка AhMyth RAT

Серверная часть устанавливается очень просто, тем более автор выложил в свободный доступ бинарники программы. Но при желании можно скомпилировать ее из исходников. Лично я проводил свои тесты на машине под управлением Windows 10.

Для работы утилиты нам необходима виртуальная машина Java. Устанавливаем ее с официального сайта Java. Затем нужно скачать бинарники самой AhMyth. Их ты можешь найти в официальном репозитории проекта на GitHub, вкладка Assets. При скачивании лучше отключить антивирус, чтобы его не хватил удар от происходящего.

Создаем зараженный APK

Чтобы создать файл APK для Android, открой вкладку APK Builder. Внешний вид конструктора вредоносных мобильных приложений показан на следующей иллюстрации.

Вкладка с конструктором APK

Пользоваться этим инструментом очень просто. В окне Source IP мы прописываем IP-адрес атакующей машины (этот адрес потом легко вычисляется при исследовании вредоноса). В поле Source Port ты можешь указать порт, который будет зарезервирован машиной для прослушивания подключений. По умолчанию используется порт 42 474.

WARNING

Помни, что распространение вирусов и вредоносных программ — незаконное действие и влечет за собой уголовную ответственность. Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не призывают к использованию полученных знаний в практических целях и не несут ответственности за любой возможный вред, причиненный материалом.

Без использования дополнительной опции Bind With Another Apk ты сгенерируешь мобильное приложение только с вредоносным кодом. И это практически бесполезно, поскольку заставить юзера установить такую программу можно разве что под пытками.

Но есть проверенный способ создания малвари, который используют все продвинутые вирмейкеры: найти в интернете какой-нибудь APK и склеить его с вредоносом. Для этого поставь флажок Bind With Another Apk, выбери нужный APK и укажи метод интеграции вредоноса в телефон. Есть два метода: при запуске зараженного APK или при перезагрузке телефона после установки RAT. Авторы программы рекомендуют второй вариант.

Осталось нажать кнопку Build — по умолчанию зараженный файл сохраняется в папку C:\Users\\AhMyth\Output .

Продолжение доступно только участникам

Вариант 2. Открой один материал

Читайте также:

  
• Как ускорить процесс заживления герпеса на губах
  
• Герпес в крови слюне моче ребенка
  
• При гепатите с давление пониженное
  
• Какие организмы относятся к прокариотам вирусы грибы
  
• Чем питаться при вирусной диареи