Кейлоггер The Rat!: обзор, настройка, использование

кейлоггер The Rat!

Кейлоггер The Rat, написанный человеком с псевдонимом HandyCat, — образец настоящего ассемблерного искусства. Это целая серия кейлоггеров, некоторые версии предусматривают даже удаленную установку.

По словам автора, первоначально форк The RatKid задумывался как упрощенная версия. Однако вскоре он превратился в отдельную утилиту, временно ставшую даже более мощной, чем ее прародительница. Сейчас внутренняя конкуренция устранена: The Rat и The RatKid почти идентичны.

Отдельно существует лишь старый The Rat v.10, оптимизированный под Windows XP Последний же релиз — The Rat v.13 Lucille был создан в мае этого года. Скачать можно как полную, так и демоверсию.

Кейлоггер  The Rat!

Каждый дистрибутив The Rat представляет собой архив в архиве. Внутри .zip находится самораспаковывающийся модуль WinRAR, закрытый паролем. В демоверсии он сообщается: TheRatKlg. Чтобы узнать пароль для полной версии, необходимо связаться с HandyCat по указанному на сайте адресу.

После распаковки архива вы получите два исполняемых файла: RatCenter.exe — центр управления и RatExtractor. exe — просмотрщик логов. Еще там есть подробная справка и файл лицензии.

Кейлоггер The Rat
Конфигурация RatCenter

Весь файловый набор занимает 1,6 Мбайт, но большая часть этого объема приходится на графический интерфейс центра управления. За счет упаковщика сам кейлоггер умещается в 20 Кбайт кода, а распакованная версия — в 50 Кбайт.

Работает он с любой раскладкой клавиатуры, включая арабскую и японскую. Совместимость проверена на всех версиях Windows от XP до 8.1. На «десятке» он еще не тестировался, но должен работать.

По умолчанию в настройках отмечена опция уведомления пользователя о слежке за ним. У демоверсии она не отключается, и при каждом перезапуске Windows на экране появляется соответствующее окно программы с единственной кнопкой О^. В полной версии демаскировку можно отключить.

К тому же в ней есть еще один уникальный компонент — программа для объединения нескольких файлов FileConnector. Она может присоединить кейлоггер к любому исполняемому или мультимедийному файлу. Результатом работы FileConnector всегда будет новый экзешник, содержащий код исходной программы и The Rat. Правда, актуально это только для слежки за неопытными пользователями, которых не смутит внезапное появление расширения .exe.

Ограничения: исходный и конечный файл должны содержать в названии только латиницу и цифры.

Основное назначение FileConnector — упростить удаленную установку методом социальной инженерии. Например, можно отправить пользователю прикольную игру или самораспаковывающийся архив с важными документами, к которому прикреплен кейлоггер.

Полная версия The Rat также использует упаковщик/шифровальщик исполняемых файлов, чтобы уменьшить размер «довеска» и затруднить его обнаружение.

TheRat
TheRat — кейлоггер со встроенным снифером

В дополнение ко всем традиционным функциям кейлогеров The Rat умеет отслеживать действия в окнах предварительно выбранных приложений и реагировать на ключевые слова, делать скриншоты через заданный интервал времени или при каждом нажатии клавиши Enter. Это существенно снижает количество мусора в логах и упрощает их передачу.

Полнофункциональная версия дополнительно выполняет задачи снифера: максимально подробно протоколирует всю работу в интернете и локальной сети. В отличие от других кейлоггеров, The Rat может перехватывать подстановку сохраненных паролей и данные автозаполняемых форм.

Также в The Rat есть интересная функция локального поисковика. Он может скрыто найти один или несколько файлов по предварительно заданной маске, а затем отправить их копии вместе с логом по почте или на FTP, указанный в настройках Rat(Kid)Center. Как искать FTP с анонимным входом и возможностью записи, я писал в статье о методах скрытой пересылки больших файлов.

Многие из старых кейлоггеров больше не актуальны в связи с переходом SMTP-серверов на безопасное подключение. В The Rat поддерживается протокол TLS, а потому он способен отправлять логи через современные почтовые сервисы.

Если же у пользователя кейлоггера есть физический доступ к наблюдаемому компьютеру, то ему пригодится другой нетривиальный метод получения лога — автокопирование. Начиная с одиннадцатой версии, Rat(Kid) Center умеет создавать флешку, при вставке которой в USB произойдет автоматическая запись лога клавиатурного шпиона.

обзор rat
Поиск файлов по маске

Ключевая особенность всех последних версий TheRat — работа по принципу бестелесных вирусов. При запуске The RatKid, а также The Rat v.11 и выше не создается отдельных исполняемых файлов. Он запускается один раз из центра управления или модифицированного экзешника, а затем полностью скрывает следы пребывания и существует только в оперативной памяти. Любое штатное выключение и даже перезагрузка по короткому нажатию Reset оставляет его в системе.

Удалить The Rat(Kid) можно отдельной утилитой Rat(Kid) Finder из комплекта соответствующей полной версии. Она обнаруживает сам клавиатурный шпион, отыскивает созданный им лог, позволяет изменить настройки и узнать горячие клавиши для отключения кейлоггера.

Альтернативный вариант его выгрузки — мгновенное обесточивание компьютера. Он действует только в том случае, если при установке кейлоггера не было предпринято дополнительных мер защиты. В настольных системах для этого потребуется выдернуть сетевой шнур, а у ноутбуков — аккумулятор. Простое выключение кнопкой бесполезно. «Крысу» размером пятьдесят килобайт легко сохранить не только в ОЗУ, но и в кеше процессора, накопителя, CMOS и любой другой доступной памяти, которая не обнулится при наличии дежурного источника питания.

обзор шпиона
Настройка поведения кейлоггера

Если же The Rat был присоединен к любому исполняемому файлу из списка автозапуска, то для удаления клавиатурного перехватчика после обесточивания компьютера придется сначала загрузить другую ОС и найти модифицированный экзешник. Лучше всего это делают дисковые ревизоры (такая функция есть, к примеру, у AVZ) и программы, способные вычислять хеш-функции.

Например, Autoruns сверит не только их, но и цифровые подписи объектов автозапуска, а все подозрительные файлы отправит на сервис онлайновой проверки VirusTotal. Впрочем, это не панацея. Малый файл кейлоггера не обязательно будет внедрен в другой. Он может существовать как спутник — например, в альтернативных потоках NTFS.

настройка кейлоггера
Модульная архитектура The Rat

Теперь давайте подведем итоги. Что мне понравилось а что не понравилось в данном кейлоггере.

Достоинства

К плюсам The Rat также можно отнести его невидимость в списке процессов для всех известных вьюверов, полное отсутствие записей в реестре, умение обходить некоторые программные файрволы (в том числе и с проверкой контрольных сумм файлов) и возможность самоуничтожиться в указанное время, при которой не остается следов и не требуется перезагрузка.

Недостатки

Минус у кейлоггера один — предсказуемый и существенный: в настоящее время его файлы определяются большинством антивирусов.

В статье использованы материалы сайта x@кer

Оценка программы The Rat!

Наша оценка

The Rat! - хороший кейлоггер с большим количеством интересных функций. Снизил оценку только за детекты.

User Rating: 3.69 ( 28 votes)
ВКонтакте
OK
Telegram
WhatsApp
Viber

3 комментария

  1. Svanson

    Бесподобная вещь поиск и передача файлов по маске. Регулярно можно все *.doc, *.rt, *.docx получать. Присылает даже те, которые удалены и в корзине:).

    Несомненно хорошо, что работает с распространенными e-mail серверами (mail.ru, yandex, yahoo), что в современных шпионах редкость. Запись лога на флешку тоже удобно очень часто.

    Размер, конечно неправдоподобно фантастически мал. Сконфигурированный файл около 50 кб это практически фантастика в наше время. Минусы — нужно искать прайвитный криптор для маскировки либо ломать голову над социнженерингом. Но все равно, похожие прайвиты стоят в десятки раз дороже.

    Один из лучших, я думаю.
    Минус — детект антивирусами. Но если повезло свежее обновление скачать, то месяц — второй антивирусная защита не детектит.

  2. Гость

    Какого года статья?

  3. alina

    где скачать

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *