Trajan KDB. Apisańnie i sposab vydaleńnia

Maksim pavinien byŭ ŭstalavać hetuju prahramu na kamputary aktyvistaŭ «Revalucyi praz sacyjalnuju sietku», jakija chavajucca ŭ Polščy. Historyju «viarboŭki» studenta žurfaku my publikavali niekalki dzion tamu.

Śpiecyjalisty sajta Charter97.org praanalizavali atrymany fajł. Varta adznačyć, što takija prahramy-špijony isnujuć u roznych madyfikacyjach. Usio ž cikava pabačyć, jakim čynam dziejničała mienavita hetaja prahrama.

Prahrama vyhladała jak instalacyja Skype.

Daśledavańnie fajła Skype.exe (MD5: 43fe19eb0896979568b986b8e7fd0e42)

1. Čym jość hetaja prahrama?

Prahrama ŭjaŭlaje ź siabie samaraspakoŭny 7zip-archiŭ, jaki źmiaščaje instalatar kamiercyjnaj prahramy viadomaj jak «Remote Manipulator System».

Aficyjny sajt vytvorcy prahramy: http://rmansys.ru/

Raspracoŭščyk: rasijskaja kampanija TeknotIT

Ikonka prahramy źmienienaja na malunak łahatypa prahramy Skype, choć usia astatniaja infarmacyja ab fajle prykładki vydaje jaje realnaha vytvorcu i navat nazvu. Hł. fota 1.

2. Kali jana lehalnaja, čamu niama nijakich voknaŭ?

Instalacyja prachodzić u «pasiŭnym» režymie, śpiecyjalna praduhledžanym raspracoŭščykam dla administrataraŭ kampjutarnych sietak, jakija majuć patrebu ŭ masavaj razhortcy dadzienaha PA. Z hetaj pryčyny prahrama nie adlustroŭvaje pracesu ŭstaloŭki i nie zapytvaje nijakich paćvierdžańniaŭ u karystača.

3. Kudy ŭstaloŭvajecca hetaja prahrama?

Asnoŭnyja fajły prahramy kapijujucca ŭ katałoh «C: \ Program Files \ Remote Manipulator System — Server».

Dadatkovy kampanient ustaloŭvajecca ŭ sistemnuju dyrektoryju pa šlachu «C: \ WINDOWS \ system32 \ RWLN.dll»

4. Chto i adkul moža joj kiravać?

Paśla zapusku prahrama praviaraje złučeńnie ź internetam, adpraŭlajučy pa adrasie http://rmansys.ru/utils/inet_id_notify.php?test=1

Dalej prahrama adpraŭlaje na servier infarmacyju ab sistemie, na jakoj jana pracuje. U hetym zapycie pakazany identyfikatar karystača, na jakoha zarehistravanaja dadzienaja prahrama. U jakaści identyfikatara karystača słužyć nastupny e-mail: [email protected].

Darečy, imia paštovaj skryni «vbybcnthcndjcn» pry nabory ŭ rasiejskaj raskładcy daje «ministerstva» (Ministerstva sportu i turyzmu?).

5. Što možna zrabić z dapamohaj hetaj prahramy?

Voś niekatoryja mahčymaści prahramy:

— Addalenaje kiravańnie kampjutaram.

— Addalenaje nazirańnie za pracoŭnym stałom.

— Fajłavy menedžar

— Modul dla pieradačy i kiravańnia fajłami.

— Addalenaje kiravańnie zadačami i pryładami.

— Addalenaje źmianieńnie rejestra.

— Terminał.

— Dostup da kamandnaha radka (anałah sistemnaj utylity «Kamandny radok»).

— Kiravańnie siłkavańniem.

— Addaleny zapusk prahram.

— Padklučeńnie da veb-kamiery i mikrafona.

— Zapis videa z pracoŭnaha stała pa raskładzie.

6. Jak zrazumieć, što sistema zaražanaja?

Vyznačyć prysutnaść prahramy ŭ sistemie možna pa charakternych pracesach, jakija jana stvaraje. Hł. fota 2.

7. Što nakont antyvirusa? Abaronić jon sistemu?

Prahrama adnosicca da katehoryi patencyjna niebiaśpiečnaha PA, bo moža być vykarystanaja niezakonna dla atrymańnia niesankcyjanavanaha dostupu da dadzienych, jakija zachoŭvajucca ŭ kamputarnaj sistemie abo sietki. Antyvirus Kaśpierskaha, naprykład, detektuje prahramu jak RemoteAdmin. Win32.RMS z katehoryi Riskware. Adnak infarmavańnie karystača ab vyjaŭleńni takich prahram patrabuje źmieny naład antyvirusa pa zmaŭčańni. Tak što praviarajcie nałady vašaha antyvirusa!

7. Jak nadziejna vyniščyć hetuju prahramu?

Lepš i chutčej za ŭsio budzie ŭsiaho ručnoje vydaleńnie, bo ŭ prahramie praduhledžana pracedura deinstalacyi praz «Panel kiravańnia».

Takim čynam,

— idziem u «Panel kiravańnia» -> «Ustalavańnie / vydaleńnie prahram». Znachodzim i vydalajem Remote Manipulator System.

— Pierazahružajem sistemu.

— Znachodzim i vydalajem fajł C: \ WINDOWS \ system32 \ RWLN.dll.

8. Jak u budučyni praduchilić zaražeńnie hetaj prahramaj?

Varta vykarystoŭvać pravilna naładžanaje antyvirusnaje PA, pastajanna sačyć za abnaŭleńniem ŭsich kampanient sistemy i braŭzera.

A dla taho kab pazbavić budučyja viersii «Remote Manipulator System» mahčymaści źviazacca z haspadarom, možna z dapamohaj natatnika dapisać u kaniec tekstavaha fajła C: \ windows \ system32 \ drivers \ etc \ hosts nastupny radok:

127.0.0.1 rmansys.ru

• 0
• 0
• 0
• 0
• 0
• 0
• 0
• 0