Xtreme RAT: Syrský malware, jak se chránit

detect-xtreme-rat-how-protect-yourself-against-the-pro-syrian-government-malware

detect-xtreme-rat-how-protect-yourself-against-the-pro-syrian-government-malwareNa internetu se objevila verze malware Xtreme RAT, za kterou zřejmě stojí syrské vládní síly, usilující o ovládnutí počítačů protirežimních aktivistů. Malware je schopen odesílat stisky kláves a obsah obrazovky na internetovou adresu, která patří syrské státní telekomunikační firmě STE.  Malware dokáže zřejmě řadu věcí jako trojský kůň Darkcomet RAT, který se objevil v počítačích odpůrců syrského režimu v únoru.

Darcomet RAT (RAT – Remote Administration Tools) patří podle analýzy antivirové firmy Symantec mezi komplexní viry. Nejen že dokáže zachytávat snímky z webkamery, potlačovat varovná hlášení antivirových programů, zaznamenávat stisky kláves, krást hesla a tato citlivá data odesílat na konkrétní adresu v internetu, ale také je schopen vlastní aktualizace ze zašifrovaných souborů a umožnuje útočníkovi nahrát do napadeného počítače nové soubory a ovládaní spuštěných procesů.

Nyní zachycený malware Xtreme RAT, který který odesíla zcizená data na zcela stejnou IP adresu jako Darkcomet RAT, se podle zpráv šíří  prostřednictvím emailu a chatu.  Xtreme RAT je schopný snímat stisky kláves a obsah obrazovky, a ačkoli možná jde o předchůce Darkcometu, je pravděpodobné že může umožňovat stejné funkce.

Jak zjistit zda je váš počítač s Microsoft Windows napaden virem Xtreme RAT :

detect-xtreme-rat-1

1. Pomocí stisku kláves Ctrl+Shift+Esc spusťte Správce úloh systému Windows a klikněte na záložku Procesy. Podívejte zde některý z procesů svchost.exe nebeží pod vaším uživatelským jménem (v tomto příkladě je uživatelské jméno Administrator.)

 

 

detect-xtreme-rat-2

2. Přes tlačítko Start klikněte na „Všechny programy“ a zkontrolujte zda se v nabidce „Po spuštění“ (seznam programů spouštěných automaticky po staru počítače) neobjevil odkaz, zástupe označený „(Empty)“, který je příznakem infekce. (pozn. pokud v nabídce Po spuštění nemáte nic, zabrazuje se zde neaktivní upozornění („Empty“), které je ovšem odlišné, neboť v případě infekce je zde aktivní/funkční zástupce.)

 

 

detect-xtreme-rat-3

3. Otevřete vaší složku Documents and Settings a klikněte a složku s vaším uživatelským jménem (v tomto příkladě „Administrator“). Podívejte se do složky Local Settings, a zde otevřete složku Temp.  Zde zkontroljte přítomnost dvou souborů : _$SdKdwi.bin and System.exe.  Máte-li povoleno zobrazování koncovek názvů souborů (file extension) nalezbete zde v případě zavirování soubor System.exe, je-li zobrazování prípon vypnuté bude zde v případě infekce soubor pojmenovaný System Project Up-date DMW.

 

 

detect-xtreme-rat-4

4. Opět ve složce Documents and Settings klikněte na složku s vaším uživatelským jménem (v tomto příkladě „Administrator). Zde otevřete Local Settings, Data aplikací, složku Microsoft a po té složku Windows. V případě infekce zde budou soubory fQoFaScoN.dat a fQoFaScoN.cfg.

 

 

detect-xtreme-rat-5

5. Klikněte na tlačítko Start a spusťte příkazové okno příkazem cmd. Zde zadejte  příkaz „netstat„, jehož výsledkem je seznam aktivních spojení. Zkontrolujte zda je ve výpise IP adresa: 216.6.0.28.


Co dělat v případě že váš počítač je napaden.

Zjistíte-li podle předchozích bodů že váš počítač je napadený, pokuste se infekci odstranit aktuální verzí vašeho antivirového programu, nebo uvedené soubory smažte. Bohužel, ani jedna z variant odstranění nedává stoprocentní záruku že váš počítač je po zrušení viru bezpečný, neboť útočník mohl do počítače nainstalovat další škodlivý software během doby kdy mohl na dálku ovládat vá počítač.

Jedinými spolehlivým řešeními je reinstalace systému nebo používat jiný bezpečnější operační systém.

Zdroj: EFF, Symantec

Napsat komentář