Pagina 1 di 3
Infezione da RAT (remote administration tool)
Inviato: sab apr 25, 2020 6:43 pm
da CesarMirror
salve a tutti
ieri sera sono stato rattato, o almeno, ieri sera si è palesato tentando di aprire file ma non so da quanto tempo il RAT stia osservando il mio PC, ho subito staccato la batteria e formatterò il PC con un' installazione pulita di Windows, il problema è che non so quale sia la fonte dell'infezione, ma sicuramente è anche sul mio hdd esterno e su un altro PC, cosa posso fare per rilervarla ed eliminarla sull'hdd senza che il RAT su di esso faccia altri danni? formattare l'hard disk è fuori questione per me, c'è un modo per riuscirci?
E come faccio per rilevare il RAT su altri pc? (sul quale magari non si è ancora palesato, ma sono infetti) ho sentito di alcuni tool e programmi come Snort o Solarwind, qual'è il migliore?
grazie in anticipo
P.s. non conosco la programmazione dei RAT, quindi un dubbio è: il mio android che è stato collegato via USB al computer, o che abbia avuto alcuni file infetti di passaggio, ha probabilitá di infezione dallo stesso RAT o può essere eseguito solo su Windows?
Re: Infezione da RAT (remote administration tool)
Inviato: sab apr 25, 2020 7:12 pm
da crazy.cat
Da un computer sicuramente pulito, magari vai da un amico, prepara il kaspersky rescue cd https://turbolab.it/live-cd-dvd-usb-322 ... alware-158, e metti sotto analisi sia il tuo pc, sperando che non lo hai già formattato e anche il disco esterno.
Magari sapere il nome preciso del virus può aiutare a capire quali danni abbia fatto e magari se è andato in giro su altri pc.
Poi formatterai il pc.
Riguardo ad android non saprei darti una risposta precisa, suppongo sia abbastanza impobabile che un virus windows riesca a infettare un telefono android.
Snort o Solarwind non li conosco.
Re: Infezione da RAT (remote administration tool)
Inviato: sab apr 25, 2020 7:51 pm
da CesarMirror
crazy.cat ha scritto: ↑sab apr 25, 2020 7:12 pm
Da un computer sicuramente pulito, magari vai da un amico, prepara il kaspersky rescue cd
https://turbolab.it/live-cd-dvd-usb-322 ... alware-158, e metti sotto analisi sia il tuo pc, sperando che non lo hai già formattato e anche il disco esterno.
Magari sapere il nome preciso del virus può aiutare a capire quali danni abbia fatto e magari se è andato in giro su altri pc.
Poi formatterai il pc.
Riguardo ad android non saprei darti una risposta precisa, suppongo sia abbastanza impobabile che un virus windows riesca a infettare un telefono android.
Snort o Solarwind non li conosco.
Grazie Crazy, il PC ancora non lo formatto, by the way, Kaspersky rescue disk lo avevo già usato qualche giorno fa per scansionare sia PC che hard disk, perché avevo lavorato al recupero dati sul pc di un amico (con easeus crackato, lo ammetto lol), comunque, da questi dati sono emersi un sacco di virus, che man mano Kaspersky anti-virus (originale, pagato) eliminava tempestivamente, dunque a scanso di equivoci a lavoro finito ho scansionato con Kaspersky rescue CD in live USB, sia il PC che l'hdd, ma non è emerso assolutamente nulla... Questo vuol dire che:
A. Questo RAT è di un livello medio-alto e non viene rilevato dai normali tool anti-virus
B. L'ho beccato dopo queste operazioni, quindi negli ultimi 2-3 giorni, se non proprio ieri scaricando un film...
Proverò di nuovo a fare la scansione con kaspersky rescue CD e ti farò sapere.
Nel frattempo accetto altre soluzioni o strategie per "sgamare" il nome del virus o qualsiasi cosa sia utile a tutelarmi, ed a non formattare l'hdd.
È possibile che a questo RAT serviva Java per avviarsi? Perché il giorno prima che agisse ho scaricato e installato Java per usare kibana e elasticsearch
Re: Infezione da RAT (remote administration tool)
Inviato: sab apr 25, 2020 8:46 pm
da CesarMirror
Mi è appena arrivato un messaggio di phishing chiedendo della Postepay... È possibile che sia collegato all'attacco? Come hanno fatto ad avere il mio num di telefono se non ha figurato per niente sul mio PC in questi giorni?
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 1:10 am
da leofelix
CesarMirror ha scritto: ↑sab apr 25, 2020 8:46 pm
Mi è appena arrivato un messaggio di phishing chiedendo della Postepay... È possibile che sia collegato all'attacco? Come hanno fatto ad avere il mio num di telefono se non ha figurato per niente sul mio PC in questi giorni?
Escluderei la correlazione infezione e messaggio di sms contenente phishing (smsishing). I malintenzionati vanno a caso così come il phishing che arriva via e-mail.
E' tuttavia possibile che il RAT abbia potuto rubarti tutte le password così come tutti eventuali codici PIN e quanto altro per accedere ai tuoi conti online ergo avrebbero già fatto accesso al tuo conto online se non adeguatamente protetto da autenticazione a due fattori (autenticazione "forte")
Del resto, sebbene diverso dalle keylogger, I RAT possono caricare screenshot e altri dati sensibili verso server remoti.
cfr: https://blog.malwarebytes.com/threats/r ... rojan-rat/
Aftermath
Remote Access Trojans have the potential to collect vast amounts of information against users of an infected machine. If Remote Access Trojan programs are found on a system, it should be assumed that any personal information (which has been accessed on the infected machine) has been compromised. Users should immediately update all usernames and passwords from a clean computer, and notify the appropriate administrator of the system of the potential compromise. Monitor credit reports and bank statements carefully over the following months to spot any suspicious activity to financial accounts.
.
Certo che se scarichi file da siti poco affidabili le possibilità di infettare il sistema aumentano.
[edit] scrivevi che man mano Kaspersky anti-virus (originale, pagato) eliminava tempestivamente,
Non ti ha indicato il nome del malware?
Altra domanda: se il tuo smartphone monta android ti sei premurato di effettuare una scansione completa con qualche antivirus idoneo? (esempi: Sophos IntercetpX - Kaspersky - Eset mobile security - Malwarebytes mobile - Dr.Web light). Se hai scaricato qualcosa di malevolo dallo smartphone e lo hai trasferito sul tuo PC e quel malware è in grado di infettare sistemi Windows, c'è anche la possibilità di cui chiedi nel tuo post iniziale.
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 1:22 am
da CesarMirror
Allora Kaspersky rescue disk ha rilevato 7 trojan, quindi è escluso che sia infetto da una settimana circa (ultima volte che ho eseguito scansione con kdr) quindi il virus è stato dovuto o ad easeus crackato o a Java, kibana e elastico search che ho scaricato 2 giorni fa, o a dei film trite veezie (film>download su browser>pagina con video in MP4>salva in video) lo so, mosse stupide mea culpa.
Comunque, mi sono accorto della presenza ieri sera mentre guardavo un film sul pc, il cursore ha iniziato a muoversi, ha chiuso la finestra del video, tempestivamente ho premuto il tasto per la modalitá aereo, ma il cursore ha continuato a muoversi, si è posizionato su un documento e ha cliccato visualizza, immediatamente ho premuto li spegnimento forzato da pulsante e il computer si è riacceso, ho rispento e si è riacceso di nuovo, al che ho staccato la batteria... Da premettere che ho Kaspersky (pagato, legit), disattivato solo per eseguire la crack di easeus, ma comunque la scansione con kdr l'ho eseguita a lavoro ultimato e dopo aver rimosso easeus, e non ha rilevato niente la settimana scorsa... Quindi non me lo spiego...
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 1:33 am
da CesarMirror
Comunque se gli admin possono modificare il titolo, l'acronimo giusto credo sia "remote administration tool
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 1:35 am
da leofelix
Capisco,
Fai una cosa scarica Hitman Pro (è gratuito per uso personale per 30 gg se lo attivi)
https://www.hitmanpro.com/en-us/hmp.aspx
Installalo, fagli fare una scansione e istruiscilo perché effettui anche una scansione durante il riavvio.
La scansione è velocissima ed è molto efficiente.
Quindi vannno eliminati tutti i file temporanei, a tale scopo puoi usare il programma gratuito e portabile qui descritto
https://turbolab.it/ssd-dischi-fissi-ha ... anmgr-2700
I file temporanei possono essere anche eseguibili.
Quindi disintegra quel crack dal tuo sistema se non lo hai già fatto e usa le versione gratuita di Easeus.
Fammi sapere. grazie
P.S appena potrai potresti inviarmi via messaggio privato copia dell'URL che hai ricevuto via sms? Ci penso io a farlo mettere fuori combattimento se ancora attivo. Grazie
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 1:38 am
da leofelix
CesarMirror ha scritto: ↑dom apr 26, 2020 1:33 am
Comunque se gli admin possono modificare il titolo, l'acronimo giusto credo sia "remote administration tool
C'è un punto esclamativo vicino a ogni post, serve per segnalare ai moderatori, scegli la categoria giusta e scrivi il motivo della richiesta.
In ogni caso ci siamo capiti lo stesso
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 1:47 am
da CesarMirror
Va bene, quindi solo rimuovendolo con kdr ed eseguendo un'installazione pulita di windows, (formattando le partizioni necessarie) non risolverei?
P.s. facendo qualche ricerca, credo che il tipo di che mi abbia infettato sia denominato "PC Invader"
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 1:53 am
da leofelix
CesarMirror ha scritto: ↑dom apr 26, 2020 1:47 am
Va bene, quindi solo rimuovendolo con kdr ed eseguendo un'installazione pulita di windows, (formattando le partizioni necessarie) non risolverei?
Se il malware ha anche funzioni di Bootkit, no (le bootkit sono rootkit che infettano il settore di avvio del disco)
Che OS usi Windows 10 e hai lo UEFI /BIOS?
In seguito potresti fare anche una scansione con Eset Online scanner (è gratuito, in italiano, personalizzabile e dovrebbe permettere anch'esso una scansione all'avvio del sistema)
Lo trovi qui
https://www.eset.com/it/privati/online-scanner/
A proposito
benvenuto su turbolab 
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 1:56 am
da CesarMirror
Ho Windows 10 completamente aggiornato, con UEFI, trattandosi probabilmente del RAT "PC invader", ed avendo avuto la possibilitá di riavviare il PC, questo punto credo di si...
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 2:00 am
da CesarMirror
"Reimage SpyHunter" è utile?
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 2:04 am
da leofelix
CesarMirror ha scritto: ↑dom apr 26, 2020 2:00 am
"Reimage SpyHunter" è utile?
Per carità, non serve a niente ed è anche rilevato come programma potenzialmente indesiderato da più di un antimalware.
Non ci pensare proprio.
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 2:09 am
da leofelix
/OT
Intanto ti ringrazio per il messaggio, abbiamo sistemato per le feste quel sito di phishing
controlla tu stesso
https://www.phishtank.com/phish_detail. ... id=6529106
/end OT
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 2:11 am
da CesarMirror
Grazie infinite, siete stati utilissimi.
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 2:13 am
da leofelix
di nulla, scherzi?:)
Appena puoi posta i log dei risultato di Hitman pro (avendo cura di rimuovere il tuo nome utente che potrebbe rivelare dati sensibili)
Hitman pro usa 4 motori. Kaspersky, Bitdefender, Sophos e un motore interno creato dallo sviluppatore.
Un portento
Grazie
Re: Infezione da RAT (remote advanced trojan)
Inviato: dom apr 26, 2020 2:15 am
da CesarMirror
OT/ Curiositá, come hai fatto a metterlo KO?
END/OT
Re: Infezione da RAT (remote administration tool)
Inviato: dom apr 26, 2020 2:23 am
da leofelix
CesarMirror ha scritto: ↑dom apr 26, 2020 2:15 am
OT/ Curiositá, come hai fatto a metterlo KO?
END/OT
ahahahha
Lo segnalo a Netcraft e ad altre soluzioni di sicurezza quindi a phishtank.
Netcraft (che oltre a fornire la protezione per il Browser Opera offre anche una estensione per i maggiori browser) invia una richiesta di take down notice a chi ospita il sito che provvederà e mettere K.O il sito.
Per ora è bloccato da quasi tutte le soluzioni di sicurezza esistenti.
In relazione a Netcraft leggi la recensione di crazy.cat (lo considero il mio maestro in merito a quasi tutto legato al mondo dell'informatica)
https://turbolab.it/browser-455/netcraf ... olosi-2297
/end OT
Re: Infezione da RAT (remote administration tool)
Inviato: dom apr 26, 2020 3:08 am
da leofelix
Allora, l'unico riferimento al RAT PC invader l'ho trovato in un sito che non raccomanderei a nessuno, non che le informazioni fornite siano errate, ma propone come soluzione di scaricare software assolutamente inutili e anche a pagamento.
In ogni caso se il malware è ancora attivo nel sistema sono dolori visto che controlla il PC infetto facendone quel che vuole (incluso il riavvio del sistema, far scaricare altro malware, ottenere dati personali come password, documenti, catturare schermate e così via.)
Quindi appena puoi posta il log di Hitman Pro, se non riesci a eseguirlo prova a rinominarlo Explorer.exe.
Quando avrai disinfettato il sistema allora potrai formattare e reinstallare, ma solo dopo.
Quindi dovrai cambiare tutte le password (sia di accesso a Windows, sia di accesso alla posta, e ovunque tu abbia un account).
Ti suggerirei a questo scopo di usare un gestore di manager gratuito come Bitwarden (ma di questo parleremo dopo).
Mi raccomando quando posti il log di rimuovere il nome utente dal testo.
Re: Infezione da RAT (remote administration tool)
Inviato: dom apr 26, 2020 3:25 pm
da CesarMirror
Ah bene, stavo per formattare, avevo capito che hitmanpro dovevo eseguirlo dopo il format per rilevare eventuali tracce rimaste nel boot. Comunque ho già proceduto con la scansione di Kaspersky rescue CD che ha rilevato 7 trojan di cui ora posterò gli screen...
Se riesco a capire come inserirla lol
Re: Infezione da RAT (remote administration tool)
Inviato: dom apr 26, 2020 3:31 pm
da crazy.cat
CesarMirror ha scritto: ↑dom apr 26, 2020 3:25 pm
ora posterò gli screen...Se riesco a capire come inserirla lol
Possono bastare anche i nomi dei file e dei virus trovati
https://turbolab.it/turbolab.it-1/inser ... olab.it-24
Re: Infezione da RAT (remote administration tool)
Inviato: dom apr 26, 2020 3:43 pm
da CesarMirror
Il nome non è specifico, ma magari gli hash possono essere utili
Re: Infezione da RAT (remote administration tool)
Inviato: dom apr 26, 2020 5:26 pm
da crazy.cat
Ci sono dei file di sistema infetti o sono solo degli script generici?
Coprendo tutti i nomi diventa impossibile capirci qualcosa.
Prova anche questo
https://usa.kaspersky.com/downloads/tdsskiller
Re: Infezione da RAT (remote administration tool)
Inviato: dom apr 26, 2020 5:54 pm
da leofelix
E' una rilevazione euristica, ne ho viste tante, poi potevano essere qualsiasi tipo di malware però è già qualcosa.
Segui le istruzioni di crazy.cat in relazione a TDS Killer, quindi per favore fai la scansione con Hitman Pro (anch'esso è in grado di eliminare eventuali rootkit) e copia e incolla il log (senza il tuo nome utente), impostalo anche perché faccia una scansione al riavvio.
Visto che di Rescue Disk c'è rimasto poco, puoi anche provare la scansione con WindowsDefender offiline, poiché usi Kaspersky, WindowsDefender dovrebbe essere disattivato, ma c'è la soluzione e crazy.cat la conosce bene ^wink^
vedi: https://turbolab.it/antivirus-antimalwa ... shell-2354
