Ищем RATs/Keyloggers, которые установленные на PC

Здравствуйте.

В этой статье я покажу самый простой способ поиска вредоносного софта (RATs/Keyloggers и т.д.), который может быть установлен на вашем компьютере и отсылает данные в сеть на сервер злоумышленника без вашего ведома. Для того, чтобы осуществить поиск, сторонний софт нам не понадобится, мы все сделаем средствами из-под самой системы, а это: CMD, Диспетчер задач.

Данный способ не поможет, если вредоносное ПО хорошо спрятано, но против большинства ратов и кейлоггеров способ подойдет. Приступим.

1. Откроем диспетчер задач (для тех, кто не знает как это делается: CTRL+ALT+DEL).

2. Как только откроется диспетчер, нажимаем на “Вид” и выбираем “Выбрать столбцы…”

Нужно отметить “Ид процесса (PID)”:

3. Теперь нужно нажать по колонке “PID”, чтобы все процессы сортировались в определенном порядке. Этот пункт не обязателен, но желателен.

4. Теперь, как мы открыли диспетчер и сделали вывод Ид процессов, переходим ко второй части статьи, нам необходимо запустить CMD  (для тех, кто не знает – это командная строка). Запустить можно так: Пуск -> Выполнить -> cmd или же, если у Вас операционная система Windows 7, ввести cmd в строке поиска.

5. После того, как мы открыли CMD, необходимо ввести следующую команду:

netstat -ano

Ее можно как скопировать и вставить в cmd, а можно ввести и руками. Нажимаем Enter.

У нас должно получиться что-то типа этого:

Мы видим разные статусы соединения, но на данный момент нас интересуют только те, что имеют статус “ESTABLISHED“.

Справа от статуса, находится PID, если вы имеете много соединений со статусом “ESTABLISHED” и с разными PIDами, то вам придется повторить эту процедуру поиска для каждого из процесса.

6. Заходим в Диспетчер задач и ищем процесс с интересующим нас PIDом.

Смотрим, в моем случае – это оказался firefox, что является браузером и ничего вредоносного из себя не представляет. Если не нашли ничего подозрительного – значит всё в порядке.  Например, кейлоггеры часто маскируют под системные процессы, в том числе и под  “svchost.exe”. 

Допустим, вам какой-то из процессов показался подозрительным, нажимаем по нему правой кнопкой мыши и выбираем “Открыть место хранения файла”. Откроется папка, где находится данный процесс. Затем, вы можете его проверить на онлайн сканере, например на virustotal, чтобы убедиться, зараженный файл или нет.

Как оказалось, все не так сложно.

Всем спасибо за внимание.

Статью переписал, перевел и дополнил openssource, специально для сайта openssource.biz

Настоящий автор статьи: Arcane с HC.