Infezione da RAT (remote administration tool)

Se Windows genera un errore, hai un problema di virus o vuoi discutere/segnalare l'uscita della nuova versione di un software per la piattaforma Microsoft, questa è la sezione giusta.
Regole del forum
Avatar utente
CesarMirror
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 28
Iscritto il: sab apr 25, 2020 6:24 pm

Infezione da RAT (remote administration tool)

Messaggio da CesarMirror »

salve a tutti
ieri sera sono stato rattato, o almeno, ieri sera si è palesato tentando di aprire file ma non so da quanto tempo il RAT stia osservando il mio PC, ho subito staccato la batteria e formatterò il PC con un' installazione pulita di Windows, il problema è che non so quale sia la fonte dell'infezione, ma sicuramente è anche sul mio hdd esterno e su un altro PC, cosa posso fare per rilervarla ed eliminarla sull'hdd senza che il RAT su di esso faccia altri danni? formattare l'hard disk è fuori questione per me, c'è un modo per riuscirci?
E come faccio per rilevare il RAT su altri pc? (sul quale magari non si è ancora palesato, ma sono infetti) ho sentito di alcuni tool e programmi come Snort o Solarwind, qual'è il migliore?
grazie in anticipo✌️
P.s. non conosco la programmazione dei RAT, quindi un dubbio è: il mio android che è stato collegato via USB al computer, o che abbia avuto alcuni file infetti di passaggio, ha probabilitá di infezione dallo stesso RAT o può essere eseguito solo su Windows?
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Infezione da RAT (remote administration tool)

Messaggio da System » sab apr 25, 2020 6:43 pm


Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Infezione da RAT (remote administration tool)

Messaggio da crazy.cat »

Da un computer sicuramente pulito, magari vai da un amico, prepara il kaspersky rescue cd https://turbolab.it/live-cd-dvd-usb-322 ... alware-158, e metti sotto analisi sia il tuo pc, sperando che non lo hai già formattato e anche il disco esterno.
Magari sapere il nome preciso del virus può aiutare a capire quali danni abbia fatto e magari se è andato in giro su altri pc.
Poi formatterai il pc.
Riguardo ad android non saprei darti una risposta precisa, suppongo sia abbastanza impobabile che un virus windows riesca a infettare un telefono android.
Snort o Solarwind non li conosco.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
CesarMirror
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 28
Iscritto il: sab apr 25, 2020 6:24 pm

Re: Infezione da RAT (remote administration tool)

Messaggio da CesarMirror »

crazy.cat ha scritto: sab apr 25, 2020 7:12 pm Da un computer sicuramente pulito, magari vai da un amico, prepara il kaspersky rescue cd https://turbolab.it/live-cd-dvd-usb-322 ... alware-158, e metti sotto analisi sia il tuo pc, sperando che non lo hai già formattato e anche il disco esterno.
Magari sapere il nome preciso del virus può aiutare a capire quali danni abbia fatto e magari se è andato in giro su altri pc.
Poi formatterai il pc.
Riguardo ad android non saprei darti una risposta precisa, suppongo sia abbastanza impobabile che un virus windows riesca a infettare un telefono android.
Snort o Solarwind non li conosco.

Grazie Crazy, il PC ancora non lo formatto, by the way, Kaspersky rescue disk lo avevo già usato qualche giorno fa per scansionare sia PC che hard disk, perché avevo lavorato al recupero dati sul pc di un amico (con easeus crackato, lo ammetto lol), comunque, da questi dati sono emersi un sacco di virus, che man mano Kaspersky anti-virus (originale, pagato) eliminava tempestivamente, dunque a scanso di equivoci a lavoro finito ho scansionato con Kaspersky rescue CD in live USB, sia il PC che l'hdd, ma non è emerso assolutamente nulla... Questo vuol dire che:
A. Questo RAT è di un livello medio-alto e non viene rilevato dai normali tool anti-virus
B. L'ho beccato dopo queste operazioni, quindi negli ultimi 2-3 giorni, se non proprio ieri scaricando un film...
Proverò di nuovo a fare la scansione con kaspersky rescue CD e ti farò sapere.
Nel frattempo accetto altre soluzioni o strategie per "sgamare" il nome del virus o qualsiasi cosa sia utile a tutelarmi, ed a non formattare l'hdd.
È possibile che a questo RAT serviva Java per avviarsi? Perché il giorno prima che agisse ho scaricato e installato Java per usare kibana e elasticsearch
Avatar utente
CesarMirror
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 28
Iscritto il: sab apr 25, 2020 6:24 pm

Re: Infezione da RAT (remote administration tool)

Messaggio da CesarMirror »

Mi è appena arrivato un messaggio di phishing chiedendo della Postepay... È possibile che sia collegato all'attacco? Come hanno fatto ad avere il mio num di telefono se non ha figurato per niente sul mio PC in questi giorni?
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Infezione da RAT (remote advanced trojan)

Messaggio da leofelix »

CesarMirror ha scritto: sab apr 25, 2020 8:46 pm Mi è appena arrivato un messaggio di phishing chiedendo della Postepay... È possibile che sia collegato all'attacco? Come hanno fatto ad avere il mio num di telefono se non ha figurato per niente sul mio PC in questi giorni?
Escluderei la correlazione infezione e messaggio di sms contenente phishing (smsishing). I malintenzionati vanno a caso così come il phishing che arriva via e-mail.
E' tuttavia possibile che il RAT abbia potuto rubarti tutte le password così come tutti eventuali codici PIN e quanto altro per accedere ai tuoi conti online ergo avrebbero già fatto accesso al tuo conto online se non adeguatamente protetto da autenticazione a due fattori (autenticazione "forte")
Del resto, sebbene diverso dalle keylogger, I RAT possono caricare screenshot e altri dati sensibili verso server remoti.

cfr: https://blog.malwarebytes.com/threats/r ... rojan-rat/


Aftermath
Remote Access Trojans have the potential to collect vast amounts of information against users of an infected machine. If Remote Access Trojan programs are found on a system, it should be assumed that any personal information (which has been accessed on the infected machine) has been compromised. Users should immediately update all usernames and passwords from a clean computer, and notify the appropriate administrator of the system of the potential compromise. Monitor credit reports and bank statements carefully over the following months to spot any suspicious activity to financial accounts.
.


Certo che se scarichi file da siti poco affidabili le possibilità di infettare il sistema aumentano.


[edit] scrivevi
che man mano Kaspersky anti-virus (originale, pagato) eliminava tempestivamente,
Non ti ha indicato il nome del malware?



Altra domanda: se il tuo smartphone monta android ti sei premurato di effettuare una scansione completa con qualche antivirus idoneo? (esempi: Sophos IntercetpX - Kaspersky - Eset mobile security - Malwarebytes mobile - Dr.Web light). Se hai scaricato qualcosa di malevolo dallo smartphone e lo hai trasferito sul tuo PC e quel malware è in grado di infettare sistemi Windows, c'è anche la possibilità di cui chiedi nel tuo post iniziale.
Ultima modifica di leofelix il dom apr 26, 2020 1:24 am, modificato 1 volta in totale.
Avanti è la vita
Avatar utente
CesarMirror
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 28
Iscritto il: sab apr 25, 2020 6:24 pm

Re: Infezione da RAT (remote advanced trojan)

Messaggio da CesarMirror »

Allora Kaspersky rescue disk ha rilevato 7 trojan, quindi è escluso che sia infetto da una settimana circa (ultima volte che ho eseguito scansione con kdr) quindi il virus è stato dovuto o ad easeus crackato o a Java, kibana e elastico search che ho scaricato 2 giorni fa, o a dei film trite veezie (film>download su browser>pagina con video in MP4>salva in video) lo so, mosse stupide mea culpa.
Comunque, mi sono accorto della presenza ieri sera mentre guardavo un film sul pc, il cursore ha iniziato a muoversi, ha chiuso la finestra del video, tempestivamente ho premuto il tasto per la modalitá aereo, ma il cursore ha continuato a muoversi, si è posizionato su un documento e ha cliccato visualizza, immediatamente ho premuto li spegnimento forzato da pulsante e il computer si è riacceso, ho rispento e si è riacceso di nuovo, al che ho staccato la batteria... Da premettere che ho Kaspersky (pagato, legit), disattivato solo per eseguire la crack di easeus, ma comunque la scansione con kdr l'ho eseguita a lavoro ultimato e dopo aver rimosso easeus, e non ha rilevato niente la settimana scorsa... Quindi non me lo spiego...
Avatar utente
CesarMirror
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 28
Iscritto il: sab apr 25, 2020 6:24 pm

Re: Infezione da RAT (remote advanced trojan)

Messaggio da CesarMirror »

Comunque se gli admin possono modificare il titolo, l'acronimo giusto credo sia "remote administration tool
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Infezione da RAT (remote advanced trojan)

Messaggio da leofelix »

Capisco,
Fai una cosa scarica Hitman Pro (è gratuito per uso personale per 30 gg se lo attivi)
https://www.hitmanpro.com/en-us/hmp.aspx
Installalo, fagli fare una scansione e istruiscilo perché effettui anche una scansione durante il riavvio.
La scansione è velocissima ed è molto efficiente.

Quindi vannno eliminati tutti i file temporanei, a tale scopo puoi usare il programma gratuito e portabile qui descritto
https://turbolab.it/ssd-dischi-fissi-ha ... anmgr-2700

I file temporanei possono essere anche eseguibili.
Quindi disintegra quel crack dal tuo sistema se non lo hai già fatto e usa le versione gratuita di Easeus.

Fammi sapere. grazie

P.S appena potrai potresti inviarmi via messaggio privato copia dell'URL che hai ricevuto via sms? Ci penso io a farlo mettere fuori combattimento se ancora attivo. Grazie
Ultima modifica di leofelix il dom apr 26, 2020 1:39 am, modificato 2 volte in totale.
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Infezione da RAT (remote advanced trojan)

Messaggio da leofelix »

CesarMirror ha scritto: dom apr 26, 2020 1:33 am Comunque se gli admin possono modificare il titolo, l'acronimo giusto credo sia "remote administration tool
C'è un punto esclamativo vicino a ogni post, serve per segnalare ai moderatori, scegli la categoria giusta e scrivi il motivo della richiesta.
In ogni caso ci siamo capiti lo stesso
Avanti è la vita
Avatar utente
CesarMirror
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 28
Iscritto il: sab apr 25, 2020 6:24 pm

Re: Infezione da RAT (remote advanced trojan)

Messaggio da CesarMirror »

Va bene, quindi solo rimuovendolo con kdr ed eseguendo un'installazione pulita di windows, (formattando le partizioni necessarie) non risolverei?
P.s. facendo qualche ricerca, credo che il tipo di che mi abbia infettato sia denominato "PC Invader"
Ultima modifica di CesarMirror il dom apr 26, 2020 1:55 am, modificato 1 volta in totale.
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Infezione da RAT (remote advanced trojan)

Messaggio da leofelix »

CesarMirror ha scritto: dom apr 26, 2020 1:47 am Va bene, quindi solo rimuovendolo con kdr ed eseguendo un'installazione pulita di windows, (formattando le partizioni necessarie) non risolverei?
Se il malware ha anche funzioni di Bootkit, no (le bootkit sono rootkit che infettano il settore di avvio del disco)
Che OS usi Windows 10 e hai lo UEFI /BIOS?

In seguito potresti fare anche una scansione con Eset Online scanner (è gratuito, in italiano, personalizzabile e dovrebbe permettere anch'esso una scansione all'avvio del sistema)
Lo trovi qui
https://www.eset.com/it/privati/online-scanner/

A proposito
benvenuto su turbolab :ciao
Avanti è la vita
Avatar utente
CesarMirror
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 28
Iscritto il: sab apr 25, 2020 6:24 pm

Re: Infezione da RAT (remote advanced trojan)

Messaggio da CesarMirror »

Ho Windows 10 completamente aggiornato, con UEFI, trattandosi probabilmente del RAT "PC invader", ed avendo avuto la possibilitá di riavviare il PC, questo punto credo di si...
Avatar utente
CesarMirror
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 28
Iscritto il: sab apr 25, 2020 6:24 pm

Re: Infezione da RAT (remote advanced trojan)

Messaggio da CesarMirror »

"Reimage SpyHunter" è utile?
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Infezione da RAT (remote advanced trojan)

Messaggio da leofelix »

CesarMirror ha scritto: dom apr 26, 2020 2:00 am "Reimage SpyHunter" è utile?
Per carità, non serve a niente ed è anche rilevato come programma potenzialmente indesiderato da più di un antimalware.
Non ci pensare proprio.
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Infezione da RAT (remote advanced trojan)

Messaggio da leofelix »

/OT
Intanto ti ringrazio per il messaggio, abbiamo sistemato per le feste quel sito di phishing
controlla tu stesso
https://www.phishtank.com/phish_detail. ... id=6529106

;)
/end OT
Avanti è la vita
Avatar utente
CesarMirror
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 28
Iscritto il: sab apr 25, 2020 6:24 pm

Re: Infezione da RAT (remote advanced trojan)

Messaggio da CesarMirror »

Grazie infinite, siete stati utilissimi. ✌️
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Infezione da RAT (remote advanced trojan)

Messaggio da leofelix »

di nulla, scherzi?:)
Appena puoi posta i log dei risultato di Hitman pro (avendo cura di rimuovere il tuo nome utente che potrebbe rivelare dati sensibili)
Hitman pro usa 4 motori. Kaspersky, Bitdefender, Sophos e un motore interno creato dallo sviluppatore.
Un portento
Grazie
Avanti è la vita
Avatar utente
CesarMirror
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 28
Iscritto il: sab apr 25, 2020 6:24 pm

Re: Infezione da RAT (remote advanced trojan)

Messaggio da CesarMirror »

OT/ Curiositá, come hai fatto a metterlo KO?

END/OT
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Infezione da RAT (remote administration tool)

Messaggio da leofelix »

CesarMirror ha scritto: dom apr 26, 2020 2:15 am OT/ Curiositá, come hai fatto a metterlo KO?

END/OT
ahahahha
Lo segnalo a Netcraft e ad altre soluzioni di sicurezza quindi a phishtank.
Netcraft (che oltre a fornire la protezione per il Browser Opera offre anche una estensione per i maggiori browser) invia una richiesta di take down notice a chi ospita il sito che provvederà e mettere K.O il sito.
Per ora è bloccato da quasi tutte le soluzioni di sicurezza esistenti.

In relazione a Netcraft leggi la recensione di crazy.cat (lo considero il mio maestro in merito a quasi tutto legato al mondo dell'informatica)
https://turbolab.it/browser-455/netcraf ... olosi-2297

;)

/end OT
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Infezione da RAT (remote administration tool)

Messaggio da leofelix »

Allora, l'unico riferimento al RAT PC invader l'ho trovato in un sito che non raccomanderei a nessuno, non che le informazioni fornite siano errate, ma propone come soluzione di scaricare software assolutamente inutili e anche a pagamento.

In ogni caso se il malware è ancora attivo nel sistema sono dolori visto che controlla il PC infetto facendone quel che vuole (incluso il riavvio del sistema, far scaricare altro malware, ottenere dati personali come password, documenti, catturare schermate e così via.)

Quindi appena puoi posta il log di Hitman Pro, se non riesci a eseguirlo prova a rinominarlo Explorer.exe.
Quando avrai disinfettato il sistema allora potrai formattare e reinstallare, ma solo dopo.

Quindi dovrai cambiare tutte le password (sia di accesso a Windows, sia di accesso alla posta, e ovunque tu abbia un account).
Ti suggerirei a questo scopo di usare un gestore di manager gratuito come Bitwarden (ma di questo parleremo dopo).

Mi raccomando quando posti il log di rimuovere il nome utente dal testo.
Avanti è la vita
Avatar utente
CesarMirror
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 28
Iscritto il: sab apr 25, 2020 6:24 pm

Re: Infezione da RAT (remote administration tool)

Messaggio da CesarMirror »

Ah bene, stavo per formattare, avevo capito che hitmanpro dovevo eseguirlo dopo il format per rilevare eventuali tracce rimaste nel boot. Comunque ho già proceduto con la scansione di Kaspersky rescue CD che ha rilevato 7 trojan di cui ora posterò gli screen...
Se riesco a capire come inserirla lol
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Infezione da RAT (remote administration tool)

Messaggio da crazy.cat »

CesarMirror ha scritto: dom apr 26, 2020 3:25 pm ora posterò gli screen...Se riesco a capire come inserirla lol
Possono bastare anche i nomi dei file e dei virus trovati
https://turbolab.it/turbolab.it-1/inser ... olab.it-24
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
CesarMirror
Livello: EPROM (2/15)
Livello: EPROM (2/15)
Messaggi: 28
Iscritto il: sab apr 25, 2020 6:24 pm

Re: Infezione da RAT (remote administration tool)

Messaggio da CesarMirror »

Immagine

Immagine

Il nome non è specifico, ma magari gli hash possono essere utili
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Infezione da RAT (remote administration tool)

Messaggio da crazy.cat »

Ci sono dei file di sistema infetti o sono solo degli script generici?
Coprendo tutti i nomi diventa impossibile capirci qualcosa.

Prova anche questo
https://usa.kaspersky.com/downloads/tdsskiller
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Infezione da RAT (remote administration tool)

Messaggio da leofelix »

E' una rilevazione euristica, ne ho viste tante, poi potevano essere qualsiasi tipo di malware però è già qualcosa.
Segui le istruzioni di crazy.cat in relazione a TDS Killer, quindi per favore fai la scansione con Hitman Pro (anch'esso è in grado di eliminare eventuali rootkit) e copia e incolla il log (senza il tuo nome utente), impostalo anche perché faccia una scansione al riavvio.

Visto che di Rescue Disk c'è rimasto poco, puoi anche provare la scansione con WindowsDefender offiline, poiché usi Kaspersky, WindowsDefender dovrebbe essere disattivato, ma c'è la soluzione e crazy.cat la conosce bene ^wink^

vedi: https://turbolab.it/antivirus-antimalwa ... shell-2354
Avanti è la vita
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Infezione da RAT (remote administration tool)

Messaggio da System » dom apr 26, 2020 5:54 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio