Кейлоггер The Rat. написаний людиною з псевдонімом HandyCat, - взірець справжнього ассемблерного мистецтва. Це ціла серія кейлогерів, деякі версії передбачають навіть віддалену установку.
Окремо існує лише старий The Rat v.10, оптимізований під Windows XP Останній же реліз - The Rat v.13 Lucille був створений в травні цього року. Завантажити можна як повну, так і демоверсію.
Кейлоггер The Rat!
Весь файловий набір займає 1,6 Мбайт, але велика частина цього обсягу припадає на графічний інтерфейс центру управління. За рахунок пакувальника сам кейлоггер вміщується в 20 Кбайт коду, а розпаковані версія - в 50 Кбайт.
Працює він з будь-розкладкою клавіатури, включаючи арабську і японську. Сумісність перевірена на всіх версіях Windows від XP до 8.1. На «десятці» він ще не тестувався, але повинен працювати.
За замовчуванням в налаштуваннях вибрано пункт повідомлення користувача про стеження за ним. У демоверсії вона не відключається, і при кожному перезапуску Windows на екрані з'являється відповідне вікно програми з єдиною кнопкою Про ^. У повній версії демаскування можна відключити.
До того ж в ній є ще один унікальний компонент - програма для об'єднання декількох файлів FileConnector. Вона може приєднати кейлоггер до будь-якого виконуваного або мультимедійного файлу. Результатом роботи FileConnector завжди буде новий екзешник, що містить код вихідної програми і The Rat. Правда, актуально це тільки для стеження за недосвідченими користувачами, яких не збентежить раптова поява розширення .exe.
Обмеження: вихідний і кінцевий файл повинні містити в назві тільки латиницю і цифри.
Повна версія The Rat також використовує пакувальник / шифрувальник виконуваних файлів, щоб зменшити розмір «доважку» і утруднити його виявлення.
На додаток до всіх традиційних функцій кейлогерів The Rat вміє відслідковувати дії в вікнах попередньо обраних додатків і реагувати на ключові слова, робити скріншоти через заданий інтервал часу або при кожному натисканні клавіші Enter. Це істотно знижує кількість сміття в логах і спрощує їх передачу.
Повнофункціональна версія додатково виконує завдання сніфера: максимально докладно веде протокол всю роботу в інтернеті та локальної мережі. На відміну від інших кейлогерів, The Rat може перехоплювати підстановку збережених паролів і дані автозаполняемих форм.
Також в The Rat є цікава функція локального пошукача. Він може приховано знайти один або кілька файлів по попередньо заданій масці, а потім відправити їх копії разом з балкою поштою або на FTP, зазначений в настройках Rat (Kid) Center. Як шукати FTP з анонімним входом і можливістю запису, я писав у статті про методи прихованої пересилання великих файлів.
Багато зі старих кейлогерів більше не актуальні в зв'язку з переходом SMTP-серверів на безпечне підключення. В The Rat підтримується протокол TLS, а тому він здатний відправляти логи через сучасні поштові сервіси.
Ключова особливість всіх останніх версій TheRat - робота за принципом безтілесних вірусів. При запуску The RatKid, а також The Rat v.11 і вище не створюється окремих виконуваних файлів. Він запускається один раз з центру управління або модифікованого файлів, а потім повністю приховує сліди перебування і існує тільки в оперативній пам'яті. Будь-яке штатне вимикання і навіть перезавантаження за коротким натискання Reset залишає його в системі.
Видалити The Rat (Kid) можна окремою утилітою Rat (Kid) Finder з комплекту відповідної повної версії. Вона виявляє сам клавіатурний шпигун, відшукує створений ним лог, дозволяє змінити налаштування і дізнатися гарячі клавіші для відключення кейлоггера.
Альтернативний варіант його вивантаження - миттєве знеструмлення комп'ютера. Він діє тільки в тому випадку, якщо при установці кейлоггера не було зроблено додаткових заходів захисту. У настільних системах для цього буде потрібно висмикнути шнур живлення, а у ноутбуків - акумулятор. Просте виключення кнопкою марно. «Щура» розміром п'ятдесят кілобайт легко зберегти не тільки в ОЗУ, а й в кеші процесора, накопичувача, CMOS і будь-який інший доступної пам'яті, що не обнулится при наявності чергового джерела живлення.
Якщо ж The Rat був приєднаний до будь-якого виконуваного файлу зі списку автозапуску, то для видалення клавіатурного перехоплювача після знеструмлення комп'ютера доведеться спочатку завантажити іншу ОС і знайти модифікований екзешник. Найкраще це роблять дискові ревізори (така функція є, наприклад, у AVZ) і програми, здатні обчислювати хеш-функції.
Наприклад, Autoruns звірить не тільки їх, але і цифрові підписи об'єктів автозапуску, а всі підозрілі файли відправить на сервіс онлайнової перевірки VirusTotal. Втім, це не панацея. Малий файл кейлоггера не обов'язково буде впроваджений в інший. Він може існувати як супутник - наприклад, в альтернативних потоках NTFS.
Тепер давайте підведемо підсумки. Що мені сподобалося а що не сподобалося в даному кейлоггера.
До плюсів The Rat також можна віднести його невидимість в списку процесів для всіх відомих вьюверов, повна відсутність записів в реєстрі, вміння обходити деякі програмні файрволи (в тому числі і з перевіркою контрольних сум файлів) і можливість самознищитися в зазначений час, при якій не залишається слідів і не потрібне перезавантаження.
Мінус у кейлоггера один - передбачуваний і істотний: в даний час його файли визначаються більшістю антивірусів.
У статті використані матеріали сайту x @ кer