Sicurezza

Come rimuovere un RAT dal proprio computer e come difenderti

RAT: Come rimuove questa pericolosa infezione e come difenderti


 

Un RAT (Remote Administration Tool) è molto popolare nella comunità degli Hacker.
Esso serve per avviare un “server” sul computer della vittima e di conseguenza esso sarà in grado
di stabilire una connessione remota con il computer del malcapitato.
In pratica un RAT serve per Entrare su un computer di qualcun’altro…

Ecco una definizione che ne vale la pena di leggere:

L’attribuzione del termine “Cavallo di Troia” ad un programma o, comunque, ad un file eseguibile, è dovuta al fatto che esso nasconde il suo vero fine. È proprio il celare le sue reali “intenzioni” che lo rende un trojan.

In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto (detti anche RAT dall’inglese Remote Administration Tool), composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dall’attaccante per inviare istruzioni che il server esegue. In questo modo, come con il mitico stratagemma adottato da Ulisse, la vittima è indotta a far entrare il programma nella città, ossia, fuor di metafora, ad eseguire il programma. Esistono anche alcuni software legali, come GoToMyPC o PCAnywhere, con funzionalità simili ai trojan, ma che non sono dei cavalli di Troia poiché l’utente è consapevole della situazione. Spesso il trojan viene installato dallo stesso attaccante, quando prende il controllo del sistema, acquisendone i privilegi amministrativi. In questo caso il trojan serve a “mantenere lo stato di hacking”, cioè a mantenere il controllo della macchina, senza che l’amministratore legittimo si accorga che alcuni programmi nascondono delle altre funzioni. [CIT: Wikipedia]

Come capire sei sei infetto da un RAT

Essere infetto da rat è molto pericoloso, in quanto l’hacker in questione (colui che ti ha infettato) avrà la possibilità di guardare i tuoi file senza dare nell’occhio, spiarti attraverso la webcam, ascoltarti (se hai il microfono attaccato) , keylogger ,visualizzare in diretta ciò che stai facendo sul tuo computer e fare molte altre cose pericolose sia per te che per la tua privacy

Rimuovere RAT

I casi più comuni e scontati per capire che sei infetto da un RAT sono:

– Processi nel task manager che non riconosci.
– Presenza nel task manager dei processi del tuo browser (esempio: chrome.exe, firefox.exe) quando in realtà il tuo browser è chiuso.
– Il led della tua webcam si illumina mentre tu non stai facendo alcuna video chiamata. (in questo caso l’hacker ti sta guardando!).
– Il tuo CMD si apre senza alcun motivo.
– Vieni reindirizzato in un sito web diverso da quello che avevi digitato.
– I tuoi file vengono eliminati a tua insaputa.
– Sospetti che qualcuno sia entrato nel tuo account email/messenger/steam/ecc.

Il più evidente e alla portata di tutti è quello della webcam, la tentazione di vedere chi è il malcapitato è troppo forte per chiunque.
dunque se noterai che il tuo led si accende a tua insaputa, beh probabilmente hai un bel RAT.

NOTA BENE:

Molti dei RAT più comuni fanno in modo di avviare il loro processo come chrome.exe,
come già detto, se nel tuo task manager (ctrl+alt+canc) noterai che il tuo browser è in esecuzione, ma in realtà è  chiuso..
probabilmente sei infetto.

Come rimuovere un RAT

Purtroppo il malcapitato sei proprio tu!..
Scommetto che adesso vuoi scoprire come eliminare il RAT dal tuo computer…
Beh per prima cosa ti consiglio di installare:

– Malwarebytes Anti-Malware

– Comodo Firewall

– Avira / AVG Antivirus

NOTA BENE:

Come già detto in altri miei articoli non è possibile usare Avira insieme a Malwerbytes per problemi di compatibilità,
quindi  ti consiglio l’uso di AVG.

Inoltre ti consiglio di leggere il mio articolo su Come mantenere il tuo computer sicuro da malware e attacchi hacker.

Come già discusso in altri miei articoli la cosa principale da fare è avviare il CMD:

– Per prima cosa chiudi il tuo browser e tutti i programmi come Skype e altri messenger.
– Vai su start e su esegui/cerca digita CMD (avvialo come amministratore).
– Sulla nuova finestra digita “netstat -ano” (senza virgolette).
– Prendi nota di ogni PID dove nella colonna a sinistra c’è scritto “ESTABLISHED

RAT cmd

Leggere questo articolo (step by step) su come capire se sei infetto.

Adesso che sei sicuro di essere infetto da un RAT è necessario disattivare la tuo connessione internet,
Consiglio Facoltativo:
Per amplificare la possibilità di rilevare e di rimuovere il RAT ti consiglio di entrare su un windows in modalità sicura (riavvia il pc – f8 – safe mode)

La prima cosa da fare è avviare una bella scansione con Malwerbytes (Nota: Assicurati che malwerbytes sia aggiornato all’ultima versione),
devi avviare “scansione completa” : anche se ci impiegherà qualche minuto in più i risultati saranno più effettivi.

Prima di iniziare la scansione:

Chiudere tutte le finestre / programmi in esecuzione.
Chiudere il tuo browser. (come avresti già dovuto fare in precedenza)
NON eseguire più di una scansione alla volta.

Appena la scansione è completa dovrebbe comparire un popup con i risultati della scansione,
se malwarebytes non è riuscito a rilevare il rat probabilmente il esso è stato cryptato in scan-time, questo vuol dire che Malwarebytes
non riuscirà a rilevare il RAT.
(Molto spesso gli hacker preferiscono cryptare il loro rat in run-time invece che in scan-time.)

Scan time = Il malware non verrà rilevato da una scansione.
Run time = Il malware non verrà rilevato quando vine eseguito.

Nel caso in cui malwarebytes sia riuscito a trovare alcuni malware, nota bene la directory del file infetto,
molto spesso (ma non sempre) i RAT vengono installati su /appdata/.
Adesso devi eliminare ogni malware rilevato, riavviare il computer (se eri in ‘safe mode’ adesso avvia il computer normalmente) e infine allaccia di nuovo la tua connessione.

All’avvio Comodo Firewall controllerà se ci sono connessioni non riconosciute nel vostro computer.
Nel caso in cui malwarebytes non sia riuscito ad eliminare il RAT, comodo sicuramente riuscirà a bloccare la connessione in uscita,
dunque bloccare e terminare la connessione.

Tornando al passaggio precedente di “Netstat -ano“, dovresti essere riuscito a capire quale sia il RAT (grazie al mio tutorial linkato in precedenza),
un’alternativa che richiede pazienza è caricare il file infetto su Virustotal:
l’incubo degli hacker.Esso ha la funzione di scansionare il tuo file su tantissimi antivirus.
La ragione per cui gli hacker odiano questo servizio è perchè Virustotal distribuisce ogni file infetto alle compagnie di antivirus,
dunque essi “smonteranno” il file e troveranno la soluzione per rimuovere la minaccia ed essa sarà aggiornata su ogni antivirus.
Quindi entro una settimana il tuo antivirus sarà in grado di eliminare la minaccia.

Un altra alternativa semplice è quella di ripristinare il sistema (start -> cerca -> “Ripristino configurazione di sistema”).
Dunque bisogna ripristinare il sistema in una data in cui credi di non essere stato infetto, (prova con un mese fà)
Grazie a questo processo il computer tornerà esattamente come era nella data che scelta, annullando le modifiche al registro di sistema in modo che il RAT non si avvii ogni volta che si avvia il computer.

Diffidate di tool come “DarkCometRAT Remover” e cose del genere, sono inutili!
Questi tool riusciranno ad eliminare l’infezione quando qualsiasi antivirus (anche il più scadente) potrebbe riuscirci.

In ogni caso se hai bisogno di assistenza puoi commentare questo articolo e sarò felice di aiutarti.

Filippo iuliani

Appassionati di tecnologia e di tutto ciò che ruota intorno al web 2.0. Web writer esperto ed Editore e di Droppergen.net e cacciatore delle ultime news dal mondo della tecnologia.

Related Articles

3 Comments

  1. Ciao.

    TUTTI i miei tre pc presentano segni strani: files in system32 (ma non solo) modificati in orari strani ed in date strane in cui il pc doveva essere spento… TUTTI e tre i pc incluso il portatile che ho comprato a maggio e presenta i system32 modificati nella stessa data degli altri due pc, data in cui il computer non esisteva ancora… inoltre in task manager appaiono alcuni doppi processi come csrss.exe sebbene con id sessione diversi… aggiungo che in tutti e tre i pc ho trovato una cartella nominata RemoteAcces in Windows/INF che contiene un file rasctrnm.h tre sottocartelle tutte con lo stesso file dll nominato rasctrs.ini … su TUTTI i tre pc… credo proprio sia il sintomo di un infezione RAT… aggiungo che a tutti e tre i pc tempo fa collegai una chiavetta usb infetta col file winlogon.vbs quello dei collegamenti… potrebbe essere lui il responsabile di sti cambi data allo stesso orario dei files in system32 oppure un rat preso magari dall’adsl infetto, un vecchio hag pirelli fastweb del 2006? Grazie ancora delle eventuali risposte e soprattutto dell’articolo

Back to top button