Cách nhận biết Trojan RAT bị chèn “em bé“
Để download RAT và biết RAT là gì các bạn xem ở bài này.
Do nhiều bạn hỏi nên hôm nay anonyviet.com viết bài này để hướng dẫn các bạn 1 số cách để biết bộ RAT các bạn tải trên mạng về có bị dính kèm “em bé” theo cùng hay không (em bé nghĩa là bản RAT các bạn tải về đã được chèn thêm Trojan của người chia sẻ, khi bạn chạy bản RAT có dính em bé, chính bạn cũng trở thành nạn nhân).
Bất kỳ phần mềm nào chạy trên máy tính của bạn đều có 1 tiến trình đi kèm (hay còn gọi là process). RAT cũng không ngoại lệ, có phần mềm chỉ có 1 tiến trình, có phần mềm có 2,3 tiến trình chạy cùng lúc. Tuy nhiên với RAT thì nó chỉ có 1 tiến trình duy nhất
Như các bạn thấy trong hình, khi bạn chạy Darkcomet RAT thì chỉ có duy nhất 1 tiến trình là Darkcomet.exe. Ngoài ra không có tiến trình nào chạy kèm nó cả. Nhưng khi bạn chạy 1 bản RAT đã bị đính kèm “em bé” thì lại khác
Các bạn thấy trong hình là khi bạn chạy 1 bản RAT bị chèn “em bé”, ngoài tiến trình Darkcomet.exe, còn có 1 tiến trình đi kèm nữa là DARKCOMET.exe. Tại sao bản RAT sạch không có mà bản RAT này lại có. Chưa hết, khi bạn chạy bản RAT sạch, nó chỉ hiện lên Menu của con RAT, còn khi bạn chạy bản RAT “bẩn”, nó lại hiển thị khác.
“Another instance of Darkcomet RAT is running on your system, do you wan’t to load another one?” Nếu bản RAT bạn tải từ trên mạng về hiện ra thông báo này kèm bản thông báo nói bạn đồng ý với quy định của tác giả thì chia buồn, máy bạn đã bị dính Trojan. Vì bộ Darkcomet RAT bạn tải về đã bị đính kèm 1 con Darkcomet RAT khác, mục đích là biến máy bạn trở thành 1 nơi phát tán RAT.
Khi các bạn tắt Darkcomet RAT thì trên Taskmanager, tiến trình Darkcomet.exe cũng sẽ mất đi. Tuy nhiên với bản RAT bẩn, thì khi bạn tắt đi, con Trojan bị chèn vào vẫn hoạt động.
Thứ 2, khi bạn tải Darkcomet RAT trên mạng về, thường tập tin thực thi RAT là Darkcomet.exe, nếu bạn tải 1 bản RAT không rõ nguồn gốc mà tập tin thực thi là Darkcomet.exe.exe thì nên xóa nó ngay
Thứ 3 là các bạn sử dụng Process Explorer để kiểm tra. Khi bạn chạy 1 bản RAT mà thấy có 1 tiến trình nhỏ đi kèm cùng nó, hãy check xem tiến trình đó có lắng nghe port nào và gởi dữ liệu về IP hay host nào không. Các bạn click chuột phải tiến trình DarkcometRAT, chọn Propertise, chuyển qua Tab TCP/IP
Mình đang chạy 1 bản RAT đã bị chèn em bé, khi mình kiểm tra thì thấy rằng nó đang remote về IP: 14.176.200.9 với Port là 6789. Chà Darkcomet RAT tự dưng remote về IP này kèm Port này là sao, chỉ có thể là RAT bị chèn em bé mợ rồi. Thôi xóa =))