Фота 1. Вірус маскаваўся пад скайп.
Фота 2. Прыкметы таго, што Ваш камп'ютар заражаны.
Максім павінен быў ўсталяваць гэтую праграму на кампутары актывістаў «Рэвалюцыі праз сацыяльную сетку», якія хаваюцца ў Польшчы. Гісторыю «вярбоўкі» студэнта журфаку мы публікавалі некалькі дзён таму.
Спецыялісты сайта Charter97.org прааналізавалі атрыманы файл. Варта адзначыць, што такіяпраграмы-шпіёны існуюць у розных мадыфікацыях. Усё ж цікава пабачыць, якім чынам дзейнічала менавіта гэтая праграма.
Праграма выглядала як інсталяцыя Skype.
Даследаванне файла Skype.exe (MD5: 43fe19eb0896979568b986b8e7fd0e42)
1. Чым ёсць гэтая праграма?
Праграма ўяўляе з сябе самараспакоўны
Афіцыйны сайт вытворцы праграмы: http://rmansys.ru/
Распрацоўшчык: расійская кампанія TeknotIT
Іконка праграмы змененая на малюнак лагатыпа праграмы Skype, хоць уся астатняя інфармацыя аб файле прыкладкі выдае яе рэальнага вытворцу і нават назву. Гл. фота 1.
2. Калі яна легальная, чаму няма ніякіх вокнаў?
Інсталяцыя праходзіць у «пасіўным» рэжыме, спецыяльна прадугледжаным распрацоўшчыкам для адміністратараў камп’ютарных сетак, якія маюць патрэбу ў масавай разгортцы дадзенага ПА. З гэтай прычыны праграма не адлюстроўвае працэсу ўсталёўкі і не запытвае ніякіх пацверджанняў у карыстача.
3. Куды ўсталёўваецца гэтая праграма?
Асноўныя файлы праграмы капіююцца ў каталог «C: \ Program Files \ Remote Manipulator System — Server».
Дадатковы кампанент усталёўваецца ў сістэмную дырэкторыю па шляху «C: \ WINDOWS \ system32 \ RWLN.dll»
4. Хто і адкуль можа ёй кіраваць?
Пасля запуску праграма правярае злучэнне з інтэрнэтам, адпраўляючы па адрасе http://rmansys.ru/utils/inet_id_notify.php?test=1
Далей праграма адпраўляе на сэрвер інфармацыю аб сістэме, на якой яна працуе. У гэтым запыце паказаны ідэнтыфікатар карыстача, на якога зарэгістраваная дадзеная праграма. У якасці ідэнтыфікатара карыстача служыць наступны
Дарэчы, імя паштовай скрыні «vbybcnthcndjcn» пры наборы ў расейскай раскладцы дае «міністэрства» (Міністэрства спорту і турызму?).
5. Што можна зрабіць з дапамогай гэтай праграмы?
Вось некаторыя магчымасці праграмы:
— Аддаленае кіраванне камп’ютарам.
— Аддаленае назіранне за працоўным сталом.
— Файлавы мэнэджар
— Модуль для перадачы і кіравання файламі.
— Аддаленае кіраванне задачамі і прыладамі.
— Аддаленае змяненне рэестра.
— Тэрмінал.
— Доступ да каманднага радка (аналаг сістэмнай утыліты «Камандны радок»).
— Кіраванне сілкаваннем.
— Аддалены запуск праграм.
— Падключэнне да
— Запіс відэа з працоўнага стала па раскладзе.
6. Як зразумець, што сістэма заражаная?
Вызначыць прысутнасць праграмы ў сістэме можна па характэрных працэсах, якія яна стварае. Гл. фота 2.
7. Што наконт антывіруса? Абароніць ён сістэму?
Праграма адносіцца да катэгорыі патэнцыйна небяспечнага ПА, бо можа быць выкарыстаная незаконна для атрымання несанкцыянаванага доступу да дадзеных, якія захоўваюцца ў кампутарнай сістэме або сеткі. Антывірус Касперскага, напрыклад, дэтэктуе праграму як RemoteAdmin. Win32.RMS з катэгорыі Riskware. Аднак інфармаванне карыстача аб выяўленні такіх праграм патрабуе змены налад антывіруса па змаўчанні. Так што правярайце налады вашага антывіруса!
7. Як надзейна вынішчыць гэтую праграму?
Лепш і хутчэй за ўсё будзе ўсяго ручное выдаленне, бо ў праграме прадугледжана працэдура дэінсталяцыі праз «Панэль кіравання».
Такім чынам,
— ідзем у «Панэль кіравання» -> «Усталяванне / выдаленне праграм». Знаходзім і выдаляем Remote Manipulator System.
— Перазагружаем сістэму.
— Знаходзім і выдаляем файл C: \ WINDOWS \ system32 \ RWLN.dll.
8. Як у будучыні прадухіліць заражэнне гэтай праграмай?
Варта выкарыстоўваць правільна наладжанае антывіруснае ПА, пастаянна сачыць за абнаўленнем ўсіх кампанент сістэмы і браўзэра.
А для таго каб пазбавіць будучыя версіі «Remote Manipulator System» магчымасці звязацца з гаспадаром, можна з дапамогай нататніка дапісаць у канец тэкставага файла C: \ windows \ system32 \ drivers \ etc \ hosts наступны радок:
