Remote Access Troijalaiset^{(Remote Access Trojans)} ( RAT ) ovat aina osoittautuneet suureksi riskiksi tälle maailmalle, kun on kyse tietokoneen kaappaamisesta tai vain pilaamisesta ystävän kanssa. RAT on haittaohjelma, jonka avulla käyttäjä voi hyökätä tietokoneeseen ja saada luvattoman etäkäytön siihen. RATit^(RATs) ovat olleet täällä vuosia, ja ne jatkuvat, sillä joidenkin RAT^(RATs) :ien löytäminen on vaikea tehtävä jopa nykyaikaiselle virustorjuntaohjelmistolle^(Antivirus) .

Tässä viestissä näemme, mikä on Remote Access Trojan , ja puhumme käytettävissä olevista havaitsemis- ja poistotekniikoista. Se selittää lyhyesti myös joitain yleisiä RAT^(RATs) :ita, kuten CyberGate , DarkComet , Optix , Shark , Havex , ComRat , VorteX Rat^{(VorteX Rat)} , Sakula ja KjW0rm .

Mitä ovat etäkäyttötroijalaiset

Etäkäyttö troijalainen

Suurin osa etäkäytön troijalaisista^{(Remote Access Trojan)} ladataan haitallisissa sähköpostiviesteissä, luvattomissa ohjelmissa ja web-linkeissä, jotka eivät vie sinua minnekään. RAT^(RATs) : t eivät ole yksinkertaisia kuten Keylogger -ohjelmat – ne tarjoavat hyökkääjälle paljon ominaisuuksia, kuten:

Näppäinlogging^(Keylogging) : Näppäinpainalluksiasi voidaan valvoa, ja käyttäjätunnukset, salasanat ja muut arkaluontoiset tiedot voitaisiin palauttaa siitä.
Näytönkaappaus^{(Screen Capture)} : Voit saada kuvakaappauksia nähdäksesi, mitä tietokoneellasi tapahtuu.
Hardware Media Capture : RAT:t voivat päästä verkkokameraasi ja mikrofoniisi tallentaakseen sinut ja ympäristösi loukkaamalla täysin yksityisyyttä.
Järjestelmänvalvojan oikeudet^{(Administration Rights)} : Hyökkääjä voi muuttaa mitä tahansa asetuksia, muokata rekisteriarvoja ja tehdä paljon muuta tietokoneellesi ilman lupaasi. RAT voi antaa hyökkääjälle järjestelmänvalvojan tason oikeudet.
Ylikellotus^{(Overclocking)} : Hyökkääjä voi lisätä prosessorin nopeuksia, järjestelmän ylikellotus voi vahingoittaa laitteiston osia ja polttaa ne lopulta tuhkaksi.
Muut järjestelmäkohtaiset ominaisuudet^{(Other system-specific capabilitie)} : Hyökkääjällä voi olla pääsy mihin tahansa tietokoneellesi, tiedostoihisi, salasanoihisi, keskusteluihin ja mitä tahansa.

Kuinka etäkäyttötroijalaiset toimivat

Remote Access Troijalaiset^(Trojans) tulevat palvelin-asiakaskokoonpanossa, jossa palvelin on piilossa asennettu uhritietokoneeseen, ja asiakasta voidaan käyttää uhritietokoneeseen graafisen käyttöliittymän^(GUI) tai komentoliittymän kautta. Palvelimen ja asiakkaan välinen linkki avataan tietyssä portissa, ja palvelimen ja asiakkaan välillä voi tapahtua salattua tai tavallista viestintää. Jos verkkoa ja lähetettyjä/vastaanotettuja paketteja valvotaan oikein, RAT^(RATs) :t voidaan tunnistaa ja poistaa.

RAT-hyökkäyksen ehkäisy

RATit^(RATs) pääsevät tietokoneille roskapostisähköpostiviesteistä^{(spam emails)} , haitallisesti ohjelmoiduista ohjelmistoista tai ne pakataan osaksi jotain muuta ohjelmistoa tai sovellusta. Tietokoneessasi on aina oltava asennettuna hyvä virustentorjuntaohjelma, joka tunnistaa ja poistaa RAT^(RATs) :t . RAT^(RATs) :ien havaitseminen on melko vaikea tehtävä, koska ne asennetaan satunnaisella nimellä, joka saattaa tuntua muilta yleisiltä sovelluksilta, ja siksi sinulla on oltava todella hyvä virustentorjuntaohjelma^(Antivirus) sitä varten.

Verkon valvonta^{(Monitoring your network)} voi myös olla hyvä tapa havaita troijalaiset^(Trojan) , jotka lähettävät henkilökohtaisia tietojasi Internetin kautta.

Jos et käytä etähallintatyökaluja^{(Remote Administration Tools)} , poista etätukiyhteydet^{(disable Remote Assistance connections)} tietokoneellesi käytöstä. Saat asetuksen SystemProperties > Remote välilehti > Uncheck Salli etätukiyhteydet tähän tietokoneeseen^{(Allow Remote Assistance connections to this computer)} -kohdasta.

Pidä käyttöjärjestelmäsi, asennetut ohjelmistot ja erityisesti tietoturvaohjelmat^{(security programs updated)} aina ajan tasalla. Älä myöskään napsauta sähköposteja, joihin et luota ja jotka ovat peräisin tuntemattomasta lähteestä. Älä lataa ohjelmistoa muista lähteistä kuin sen viralliselta verkkosivustolta tai peilistä.

RAT-hyökkäyksen jälkeen

Kun tiedät, että olet joutunut hyökkäyksen kohteeksi, ensimmäinen askel on katkaista järjestelmäsi yhteys Internetiin^(Internet) ja verkkoon^(Network) , jos olet yhteydessä. Vaihda^(Change) kaikki salasanasi ja muut arkaluontoiset tietosi ja tarkista, onko jokin tilistäsi vaarantunut toisella puhtaalla tietokoneella. Tarkista pankkitilisi petollisten tapahtumien varalta ja ilmoita välittömästi pankkillesi tietokoneessasi olevasta troijalaisesta^(Trojan) . Tarkista sitten tietokone ongelmien varalta ja pyydä ammattiapua RAT :n poistamiseen . Harkitse portin 80^{(Port 80)} sulkemista . Käytä Firewall Port Scanneria tarkistaaksesi kaikki portit.

Voit jopa yrittää perääntyä ja tietää, kuka oli hyökkäyksen takana, mutta tarvitset siihen ammattiapua. RAT:t voidaan yleensä poistaa, kun ne havaitaan, tai voit poistaa sen kokonaan asentamalla uuden Windowsin .^(Windows)

Yleiset etäkäyttötroijalaiset

Monet etäkäyttötroijalaiset ^{(Remote Access)} ovat^(Trojans) tällä hetkellä aktiivisia ja tartuttavat miljoonia laitteita. Tunnetuimpia käsitellään tässä artikkelissa:

Sub7 : 'Sub7', joka on johdettu kirjoittamalla NetBus (vanhempi RAT ) taaksepäin, on ilmainen etähallintatyökalu, jonka avulla voit hallita isäntätietokonetta. Tietoturvaasiantuntijat ovat luokitelleet työkalun troijalaisiksi, ja sen käyttäminen tietokoneellasi voi olla riskialtista.
Back Orifice : Back Orifice ja sen seuraaja Back Orifice 2000 on ilmainen työkalu, joka oli alun perin tarkoitettu etähallintaan – mutta työkalun muuntaminen etäkäyttötroijalaiseksi ei kestänyt aikaa^{(Access Trojan)} . On ollut kiistaa siitä, että tämä työkalu on troijalainen^(Trojan) , mutta kehittäjät pitävät sitä tosiasiasta, että se on laillinen työkalu, joka tarjoaa etähallinnan pääsyn. Useimmat virustorjuntaohjelmat tunnistavat ohjelman nyt haittaohjelmaksi.
DarkComet : Se on erittäin laajennettava etähallintatyökalu, jossa on paljon ominaisuuksia, joita voidaan mahdollisesti käyttää vakoilussa. Työkalulla on myös yhteyksiä Syyrian sisällissotaan^{(Civil War)} , jossa on raportoitu, että hallitus^(Government) käytti tätä työkalua siviilien vakoilemiseen. Työkalua on jo käytetty paljon väärin, ja kehittäjät ovat lopettaneet sen jatkokehityksen.
SHARK : Se on edistynyt etähallintatyökalu. Ei tarkoitettu aloittelijoille ja amatöörihakkereille. Sen sanotaan olevan työkalu tietoturva-ammattilaisille ja kokeneille käyttäjille.
Havex : Tätä troijalaista on käytetty laajasti teollisuussektoria vastaan. Se kerää tietoja, mukaan lukien minkä tahansa teollisuuden ohjausjärjestelmän^{(Industrial Control System)} olemassaolo, ja välittää sitten samat tiedot etäsivustoille.
Sakula : Etäkäyttötroijalainen ,^(Trojan) joka tulee valitsemassasi asennusohjelmassa. Se kuvaa, että se asentaa jonkin työkalun tietokoneellesi, mutta asentaa haittaohjelman sen mukana.
KjW0rm : Tämä troijalainen^(Trojan) on täynnä ominaisuuksia, mutta se on jo merkitty uhkaksi monien virustentorjuntatyökalujen^(Antivirus) mukaan .

Nämä etäkäyttötroijalaiset^{(Remote Access Trojan)} ovat auttaneet monia hakkereita vaarantamaan miljoonia tietokoneita. Suojaus näitä työkaluja vastaan on välttämätön, ja hyvä suojausohjelma valppaana käyttäjän kanssa riittää estämään näitä troijalaisia vaarantamasta tietokonettasi.

Tämän viestin oli tarkoitus olla informatiivinen artikkeli RAT^(RATs) :ista , eikä se millään tavalla edistä niiden käyttöä. Joka tapauksessa tällaisten työkalujen käyttöä koskevia lakeja saattaa olla maassasi.

Lue lisää etähallintatyökaluista^{(Remote Administration Tools)} täältä.

What is Remote Access Trojan? Prevention, Detection & Removal

Remote Access Trojans (RAT) have always proved to be a big risk to this world when it comes to hijacking a computer or just playing a prank with a friend. A RAT is malicious software that lets the operator attack a computer and gain unauthorized remote access to it. RATs have been here for years, and they persist as finding some RATs is a difficult task even for the modern Antivirus software out there.

In this post, we will see what is Remote Access Trojan and talks about detection & removal techniques available. It also explains, in short, some of the common RATs like CyberGate, DarkComet, Optix, Shark, Havex, ComRat, VorteX Rat, Sakula and KjW0rm.

What are Remote Access Trojans

Remote Access Trojan

Most of the Remote Access Trojan are downloaded in malicious emails, unauthorized programs and web links that take you nowhere. RATs are not simple like Keylogger programs – they provide the attacker with a lot of capabilities such as:

Keylogging: Your keystrokes could be monitored, and usernames, passwords, and other sensitive information could be recovered from it.
Screen Capture: Screenshots can be obtained to see what is going on your computer.
Hardware Media Capture: RATs can take access to your webcam and mic to record you and your surroundings completely violating privacy.
Administration Rights: The attacker may change any settings, modify registry values and do a lot more to your computer without your permission. RAT can provide an administrator-level privileges to the attacker.
Overclocking: The attacker may increase processor speeds, overclocking the system can harm the hardware components and eventually burn them to ashes.
Other system-specific capabilities: Attacker can have access to anything on your computer, your files, passwords, chats and just anything.

How do Remote Access Trojans work

Remote Access Trojans come in a server-client configuration where the server is covertly installed on the victim PC, and the client can be used to access the victim PC through a GUI or a command interface. A link between server and client is opened on a specific port, and encrypted or plain communication can happen between the server and the client. If the network and packets sent/received are monitored properly, RATs can be identified and removed.

RAT attack Prevention

RATs make their way to computers from spam emails, maliciously programmed software or they come packed as a part of some other software or application. You must always have a good antivirus program installed on your computer that can detect and eliminate RATs. Detecting RATs is quite a difficult task as they are installed under a random name that may seem like any other common application, and so you need to have a really good Antivirus program for that.

Monitoring your network can also be a good way to detect any Trojan sending your personal data over the internet.

If you don’t use Remote Administration Tools, disable Remote Assistance connections to your computer. You will get the setting in SystemProperties > Remote tab > Uncheck Allow Remote Assistance connections to this computer option.

Keep your operating system, installed software and particularly security programs updated at all times. Also, try not to click on emails that you don’t trust and are from an unknown source. Do not download any software from sources other than its official website or mirror.

After the RAT attack

Once you know you’ve been attacked, the first step is to disconnect your system from the Internet and the Network if you are connected. Change all your passwords and other sensitive information and check if any of your accounts has been compromised using another clean computer. Check your bank accounts for any fraudulent transactions and immediately inform your bank about the Trojan in your computer. Then scan the computer for issues and seek professional help for removing the RAT. Consider closing Port 80. Use a Firewall Port Scanner to check all your Ports.

You can even try to back-track and know who was behind the attack, but you’ll need professional help for that. RATs can usually be removed once they are detected, or you can have a fresh installation of Windows to completely remove it off.

Common Remote Access Trojans

Many Remote Access Trojans are currently active now and infecting millions of devices. The most notorious ones are discussed here in this article:

Sub7: ‘Sub7’ derived by spelling NetBus (an older RAT) backward is a free remote administration tool that lets you have control over the host PC. The tool has been categorized into Trojans by security experts, and it can be potentially risky to have it on your computer.
Back Orifice: Back Orifice and its successor Back Orifice 2000 is a free tool that was originally meant for remote administration – but it didn’t take the time that the tool got converted into a Remote Access Trojan. There has been a controversy that this tool is a Trojan, but developers stand upon the fact that it is a legitimate tool that provides remote administration access. The program is now identified as malware by most of antivirus programs.
DarkComet: It is a very extensible remote administration tool with a lot of features that could be potentially used for spying. The tool also has its links with the Syrian Civil War where it is reported that the Government used this tool to spy on civilians. The tool has already been misused a lot, and the developers have stopped its further development.
sharK: It is an advanced remote administration tool. Not meant for beginners and amateur hackers. It is said to be a tool for security professionals and advanced users.
Havex: This trojan has been extensively used against the industrial sector. It collects information including the presence of any Industrial Control System and then passes on the same information to remote websites.
Sakula: A remote access Trojan that comes in an installer of your choice. It will depict that it is installing some tool on your computer but will install the malware along with it.
KjW0rm: This Trojan comes packed with a lot of capabilities but already marked as a threat by many Antivirus tools.

These Remote Access Trojan have helped many hackers compromise millions of computers. Having protection against these tools is a must, and a good security program with an alert user is all it takes to prevent these Trojans from compromising your computer.

This post was meant to be an informative article about RATs and does not in any way promote their usage. There may be some legal laws about the usage of such tools in your country, in any case.

Read more about Remote Administration Tools here.

Tarja Niemi

About the author

Olen ammatillinen tietokoneteknikko ja minulla on yli 10 vuoden kokemus alalta. Olen erikoistunut Windows 7:n ja Windows Apps -kehitykseen sekä Cool Websites -suunnitteluun. Olen alalta erittäin asiantunteva ja kokenut, ja olisin arvokas voimavara kaikille organisaatioille, jotka haluavat kasvattaa liiketoimintaansa.

Mikä on etäkäytön troijalainen? Ennaltaehkäisy, havaitseminen ja poistaminen

Mitä ovat etäkäyttötroijalaiset

Kuinka etäkäyttötroijalaiset toimivat

RAT-hyökkäyksen ehkäisy

RAT-hyökkäyksen jälkeen

Yleiset etäkäyttötroijalaiset

What is Remote Access Trojan? Prevention, Detection & Removal

What are Remote Access Trojans

How do Remote Access Trojans work

RAT attack Prevention

After the RAT attack

Common Remote Access Trojans

Tarja Niemi

About the author

Related posts

DLL-kaappauksen haavoittuvuuden hyökkäykset, ehkäisy ja havaitseminen

Etähallintatyökalut: riskit, uhat, ennaltaehkäisy

Bundleware: määritelmä, ehkäisy, poistoopas

Selaimen kaappaus ja ilmaiset selaimen kaappaajan poistotyökalut

Ilmaiset haittaohjelmien poistotyökalut tietyn viruksen poistamiseen Windows 11/10:ssä

Vinkkejä tietokoneesi suojaamiseen Thunderspy-hyökkäykseltä

Mikä on FileRepMalware? Pitäisikö se poistaa?

Kuinka tarkistaa rekisteri haittaohjelmien varalta Windows 11/10:ssä

Virusvaroituksen poistaminen Microsoftista Windows PC:ssä

Estä Drive-by-lataukset ja niihin liittyvät haittaohjelmahyökkäykset

Kuinka käyttää Avast Boot Scania haittaohjelmien poistamiseen Windows PC:stä

Kuinka poistaa Chromium Virus Windows 11/10:stä

Ota käyttöön PIN-kooditon todennus etäkäyttöisännille Chromessa

26 Paras ilmainen haittaohjelmien poistotyökalu

Mikä on Win32:BogEnt ja kuinka se poistetaan?

Chrome-selaimen sisäänrakennetun Malware Scanner & Cleanup Toolin käyttäminen

Tarkista, onko tietokoneesi saastunut ASUS Update -haittaohjelmasta

Viruksen poistaminen Windows 11/10:stä; Haittaohjelmien poistoopas

Mikä on takaoven hyökkäys? Merkitys, esimerkit, määritelmät

Kuinka tarkistaa, onko tiedosto haitallinen vai ei Windows 11/10:ssä