В сети часто можно встретить трояны с детектом BackDoor.RMS или BackDoor.Radmin !
Что это такое и принцип действия:
Как оказалось что-бы "обойти АВ" достаточно использовать так-называемые "Потенциально-опасные" программы, это программы удалённого администрирования, управления компом и т.д.
Данные программы при настройках по умолчанию попадают в исключения большинство АВ и файерволов...
Итак принцип действия:
Хакер подготавливает специальную "Сборку", самое простое - это самораспаковывающийся архив, который "Скрыто" устанавливает сборку, не уведомляя об этом пользователя, далее на емаил хакеру или по определённому IP-адресу идёт "отстук" что жертва "Готова"...
Вот видео, как это можно использовать на примере KIS-2015:
Также в архиве для теста сама сборка, сборка именно для теста, т.е. в ней нет такой совсем скрытости, которой делают хакеры:Маскировка процессов, маскировка самой установки и т.д.
Как защитится:
1)Поменять настройки антивирусного сканера на "Обнаруживать потенциально-опасное ПО";
2)Настроить файерволл в "Интерактивный режим" БЕЗ созданий правил автоматически и отслеживать сетевую активность программ "вручную";
3)Обновлять базы;
4)Незапускать подозрительное ПО !
VT сборки:https://www.virustotal.com/ru/file/...4f968e82446d7dfe5baccaa7/analysis/1432289231/
Что это такое и принцип действия:
Как оказалось что-бы "обойти АВ" достаточно использовать так-называемые "Потенциально-опасные" программы, это программы удалённого администрирования, управления компом и т.д.
Данные программы при настройках по умолчанию попадают в исключения большинство АВ и файерволов...
Итак принцип действия:
Хакер подготавливает специальную "Сборку", самое простое - это самораспаковывающийся архив, который "Скрыто" устанавливает сборку, не уведомляя об этом пользователя, далее на емаил хакеру или по определённому IP-адресу идёт "отстук" что жертва "Готова"...
Вот видео, как это можно использовать на примере KIS-2015:
Также в архиве для теста сама сборка, сборка именно для теста, т.е. в ней нет такой совсем скрытости, которой делают хакеры:Маскировка процессов, маскировка самой установки и т.д.
Как защитится:
1)Поменять настройки антивирусного сканера на "Обнаруживать потенциально-опасное ПО";
2)Настроить файерволл в "Интерактивный режим" БЕЗ созданий правил автоматически и отслеживать сетевую активность программ "вручную";
3)Обновлять базы;
4)Незапускать подозрительное ПО !
VT сборки:https://www.virustotal.com/ru/file/...4f968e82446d7dfe5baccaa7/analysis/1432289231/
