什么是 远程管理工具 以及如何移除它

Jake Doevan 评价 - - 已更新 | 类型:远程管理工具
12

远程管理工具 (RAT) 是一个被黑客或其他人用来通过互联网或跨越当地网络连接远程计算机,然后执行必要活动的程序。远程管理工具基于伺服器和客户端技术,伺服器部分是在一个受控制的计算机运行,然后从安装在远程主机上的客户端接收指令。远程管理工具在后台操作并自我隐藏不让用户看到。持有其控制权的人可以监控用户的活动、管理文件、安装额外的软件、控制整个系统,包括任何当前的应用程序或硬件设备、修改主要系统的设置、关闭或重新开启计算机。

远程管理器被分为恶意和合法的应用程序,寄生的远程管理工具也被称为远程管理木马程序,与后门程序非常相似,并拥有非常相似的功能。然而,它们并不像后门程序那样具有病毒性,也没有额外的破坏性功能或另一种危险的有效载荷。这些寄生虫是不会自己操作的,它们必须由客户端控制。

合法的远程管理工具是商业产品,主要目标是系统管理员。其主要目的是允许授权进入计算机以进行修复或从远程控制它们。尽管如此,合法的远程管理工具拥有和寄生程序一样的功能,因此可以用于明显的恶意目的。

在远程管理工具的帮助下进行的活动

正如我们之前提到的,合法和非法的远程管理工具非常相似。然而,它们只是用来进行非法的活动,如以下所示:

  • 允许入侵者创建、删除、重新命名、拷贝或编辑任何文件。攻击者也可以使用远程管理工具来执行各种指令、更换系统设置、修改 Windows 注册表项并运行、控制或终止应用程序。最后,它可以用来安装可选的软件或寄生虫。
  • 在没有征询用户的许可下,让攻击者控制硬件、修改相关设置、关机或重新开启计算机。
  • 允许心存恶意的人监控用户在互联网上的活动。此活动将导致受害者丢失他/她的密码、登录名字、个人文档,以及其他敏感的信息。
  • 捕获屏幕截图并追踪用户的活动。所有以这些技巧收集的数据将被传送到入侵者。
  • 降低计算机的性能、减低互联网连接的速度和系统的安全性,通常这些病毒会造成计算机的不稳定性。
  • 对用户隐藏自己,并把移除过程复杂化。

远程管理工具的分布技巧

远程管理工具与普通的计算机病毒并不相似,他们的伺服器部分必须像任何其他软件一样安装在受侵入的系统上。当然,这是可以在用户同意或不同意的情况进行的。以下是未经同意的远程管理工具如何进入系统的两个主要方法:

  • 手动安装。一个合法的远程管理工具可以由系统管理者或任何拥有软件安装足够权限的其他用户以手动方式安装,而黑客可以强行进入系统并设置他的远程管理工具。在这两种情况下,隐私威胁将在用户不知情及没有同意下被安装。
  • 通过其他寄生虫的帮助渗入。恶意的远程管理工具是由其他寄生虫如病毒、后门程序或蠕虫安装的。通常它们被特定的木马程序置放,而这个木马程序是通过 Internet Explorer ActiveX 控制或利用某些网页浏览器的漏洞进入系统的。它们的创建者运行含有恶意代码或分布不安全广告弹出窗口的不安全网站,当用户访问这些网站或点击这类弹出窗口时,有害的脚本立即安装了一个木马程序。用户并不会发现到任何的可疑点,因为该威胁并没有显示任何设置向导、对话或警告。

总而言之,恶意版本的移除管理工具允许攻击者在受感染的计算机上操作,就好像使用其计算机方式一样,将它使用于各种恶意目的。这种活动的责任通常由安装了恶意远程管理工具的无恶意用户来承担,因为很难揭示控制寄生虫的人。

实际上,所有的远程管理工具都是很难被检测的。它们可能会侵犯用户的隐私长度数个月甚至数年才被发现。心存恶意的人可以使用远程管理工具来找出有关用户的一切,取得并透露无价的信息,比如用户的密码、登录名字、信用卡号码、准确的银行账户详细信息、宝贵的个人文档、联系、兴趣、网页浏览习惯等等。

任何的远程管理工具可以被用于破坏性的目的。如果黑客无法从受侵入的计算机取得任何宝贵及有用的信息,或他已经窃取了这些信息,他最终将毁坏整个系统以灭掉证据。这意味着所有的硬盘将被格式化,所有的文件将被擦除。一般来说,恶意版本的远程管理工具会侵入运行 Microsoft Windows 操作系统的计算机。然而,也有一些比较不热门的寄生虫是设计来在不同的环境,包括 Mac OS X 及其他环境操作。

最坏名声的远程管理工具示例

有数以千计不同的远程管理工具,以下的示例解说了这些威胁是多么的强大和危险。

PC Invader 是一个恶意的远程管理工具,它被黑客用来修改远程系统的必要网络设置。PC Invader 被认为是非常危险的,因为其主要的目的是更改主要计算机的设置、IP 地址、DNS 地址、计算机名字、默认网关等。它也可以关闭或重新开启计算机。

Back Orifice 是一个坏名声的恶意远程管理工具,它允许入侵者在受侵略的计算机上任意所为。此工具拥有大量的危险功能,并导致受害者完全不受保护及不知所措。Back Orifice 可以被用来管理文件、运行及安装应用程序、终止定义的进程、修改必要的系统和网络设置、控制操作系统、安装软件和硬件设备、记录键击、截图、捕获视频或音频、窃取密码等等。这个远程管理工具支持插件,因此可以拥有很多不同的额外功能。

Beast 只是另一个病毒,它隶属于远程管理工具的庞大家族。这个威胁的开发者是一位被称为 Tataye 的著名黑客。正如我们所知,第一个版本的 Beast 于 2001 年 4 月至 2004 年 3 月出现,这个威胁是以 Delphi 编写,并以 ASPack 压缩。

从系统移除远程管理工具

你无法以手动方式移除恶意版本的远程管理工具,因为它们会把它们的文件和其他组件隐藏在系统深处。移除这些威胁最有效的方法是使用一个信誉良好的反间谍软件工具,这类程序可以帮你轻易检测并移除即便是最危险的病毒,因此不要延迟在计算机上安装它们。你可以在 ReimagePlumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus 的帮助下摆脱任何远程管理工具。

如果你认为你的能力足以让你在计算机手动找出远程管理工具的文件,你应该在移除每个你所检测到的组件之前再多确认一下,否则你可能会造成严重的问题,比如计算机的不稳定性。请注意,很多互联网资源,比如 2-Spyware.com,可以帮你手动移除你的恶意软件。当你把问题加入询问我们页面后,你可以接收到如何从系统移除远程管理工具(恶意的)的详细指示。

最新加入数据库的病毒

如何移除 Locky 病毒

Locky 病毒概述: 目前(撰写这篇文章的时刻)有数以百计的人们正尝试从计算机移除 Locky 病毒以及还原“locky datei”。< a class="more_link" href="http://wubingdu.cn/locky-%e7%97%85%e6%af%92/">更多
勒索软件 病毒   八月 17, 2017

删除 System Care Antivirus

System Care Antivirus,是一个危险的应用程序,它真正的面目与它所呈现出来的相差十万八千里。你可能会觉得它是一个多功能的防病毒软件,其实它只是另一个伺机窃取你金钱的流氓程序 它通过售卖其伪造的许可版本来赚取金钱,它承诺帮你修复你的计算机并帮你移除所有的病毒。 < a class="more_link" href="http://wubingdu.cn/system-care-antivirus/">更多
流氓反间谍软件 病毒   八月 17, 2017

正在卸载 Infolinks

Infolinks 是一个在线广告网络,以带下划线广告 的方式促销各种产品 这个插件看起来与Text Enhance 非常相似。< a class="more_link" href="http://wubingdu.cn/infolinks/">更多
病毒 系统工具   八月 17, 2017

远程管理工具 数据库

八月 17, 2017

Flash Player Pro 病毒

Flash Player Pro virus 是一个伪造的应用程序,它模仿信誉良好的Adobe Flash Player 程序 据安全专家指出,它是通过这些伪造的通知来传播,“下载 Flash Player Pro”、“你的 Flash Player 已经过时,请更新以继续”、 “需要Flash Player的更新才能查看这些内容”。< a class="more_link" href="http://wubingdu.cn/flash-player-pro-%e7%97%85%e6%af%92/">更多
八月 17, 2017

Nemesis 勒索病毒

Nemesis 索求 10 比特币换取可疑的解密软件 Nemesis 是一个以 AES-256 密码来加密文件的加密恶意软件。在加密数据后,它传送了一份被称为 “### DECRYPT MY FILES ###.html” 的勒索字条,并更换了桌面。为了取回他们的文件,受害者被要求通过提所供的电邮地址联系网络犯罪份子并支付赎金。  最初,病毒添加了.v8dp 文件扩展名。然而,Nemesis 病毒也可能使用以下其中一个附录来锁住文件: .id-victim’s ID_[TOR website URL].63vc4, .l454t, .id_[victim’s ID]_[webmafia@asia.com].t5019, .id_[victim’s ID]_[Blacklagoon@aolonline.top].ne... < a class="more_link" href="http://wubingdu.cn/nemesis-%e5%8b%92%e7%b4%a2%e7%97%85%e6%af%92/">更多
八月 17, 2017

v9.com病毒

没什么用途的 v9.com 搜索功能会为你带来很多问题 v9.com病毒是一个浏览器劫持者,其目的是增加v9.com流量和推广这个网站以赚取金钱。< a class="more_link" href="http://wubingdu.cn/v9-com%e7%97%85%e6%af%92/">更多
八月 17, 2017

Mamba 勒索病毒

Mamba 勒索软件回来了,并把目标锁定在巴西和沙特阿拉伯的公司网络   Mamba 是一个出现于 2016 年的文件加密病毒,它在当年的11 月份袭击了旧金山市政交通局,并要求了 73,000 美元的赎金 。< a class="more_link" href="http://wubingdu.cn/mamba-%e5%8b%92%e7%b4%a2%e7%97%85%e6%af%92/">更多
八月 16, 2017

Locky 勒索软件

Locky 病毒如何找到进入计算机的入口? Locky 是一种勒索软件,它是通过垃圾邮件的恶意 Word 文档附件来传播的,传播 Locky 勒索软件的电邮通常会让人误以为它所传送的是发票,这个恶意的 Word 文档会在Word 的宏指令< a class="more_link" href="http://wubingdu.cn/locky-%e5%8b%92%e7%b4%a2%e8%bd%af%e4%bb%b6/">更多
八月 16, 2017

Pc Optimizer Pro

什么是 PC Optimizer Pro? PC Optimizer Pro 是一个流氓系统优化程序,我们已将决定将它归类为恶意软件。< a class="more_link" href="http://wubingdu.cn/pc-optimizer-pro/">更多
八月 16, 2017

Alientab.net 病毒

Alientab 接管了网页浏览器,并强迫你使用可疑的搜索引擎 Alientab 是一个不值得信赖的扩展程序,但由于其用户友善的外观,你可能受到诱骗而它下载。< a class="more_link" href="http://wubingdu.cn/alientab-net-%e7%97%85%e6%af%92/">更多
八月 16, 2017

GlobeImposter 2.0 勒索病毒

GlobeImposter 2.0 可能劫持超过 30 个文件然后要求支付赎金 GlobeImposter 2.0 是一个复制了Globe 勒索病毒的 Globe Imposter 新变种。< a class="more_link" href="http://wubingdu.cn/globeimposter-2-0-%e5%8b%92%e7%b4%a2%e7%97%85%e6%af%92/">更多
八月 16, 2017

AdChoices

什么是 AdChoices? AdChoices 并不是一个病毒。它是一种合法的服务,可以用来放送基于兴趣的广告,这个方法可以让第三方显示所需内容并让他们自我推广。尽管如此,如果你想知道互联网用户对它的看法,你会发现到几乎所有的计算机用户正在试图摆脱这些商业通知,而他们这么做最重要的原因是这些广告已经对他们在网上的浏览造成干扰 。但严格来说,这必须责怪他们自己,因为 AdChoices 广告只有在关加载项被安装在系统后才会显现的。此外,这些广告也可以依某人所需而放送。 在点击 Adchoices 弹出式通知后,你可能会被带到受赞助的网站,这就是这个广告系统运作的方式了。然而,这似乎有点危险,因为 AdChoices 并不对这些网站负起任何的责任。以下是其使用条款里的其中一句:“所有此类信息、程序、产品、服务和素材都是‘原样’提供... < a class="more_link" href="http://wubingdu.cn/adchoices/">更多
八月 15, 2017

Yeabests.cc 病毒

Yeabests.cc 病毒和 TopYea 搜索有什么分别呢? 与 TopYea Search 一样,Yeabests.cc 病毒看起来像是一个传统的搜索网站。< a class="more_link" href="http://wubingdu.cn/yeabests-cc-%e7%97%85%e6%af%92/">更多
八月 15, 2017

Onclkds.com 广告

经常收到 Onclkds 广告 Onclkds.com 广告会随着一些你最近从网上下载的可疑免费程序一起进入你的计算机。< a class="more_link" href="http://wubingdu.cn/onclkds-com-%e5%b9%bf%e5%91%8a/">更多
八月 15, 2017

Softonic

Softonic 是一个隐匿垃圾程序,它会在没有征求用户的许可下渗入计算机。 一旦它得逞,它会将自己安置在所有的浏览器里,包括 Mozilla Firefox、Google Chrome、Safari 及 Internet Explorer,然后在用户开始在网上浏览时,提供它的服务。< a class="more_link" href="http://wubingdu.cn/softonic/">更多
八月 14, 2017

Startpage.com 病毒

Startpage.com简短综述: Startpage.com 病毒不是一个恶意威胁,但却是一个以广告赚取收入为重点的程序,它伪装成一个信誉良好的搜索引擎,诱骗用户访问不明及有问题的网站。< a class="more_link" href="http://wubingdu.cn/startpage-com-%e7%97%85%e6%af%92/">更多
八月 14, 2017

NotPetya 勒索病毒

被称为 NotPetya 的恶意软件造成全球混乱 在全球阻止了以 Windows 操作的系统后,NotPetya 病毒被认为是新出炉勒索软件的新版本。< a class="more_link" href="http://wubingdu.cn/notpetya-%e5%8b%92%e7%b4%a2%e7%97%85%e6%af%92/">更多
八月 14, 2017

Search.fbdownloader.com

Search.fbdownloader.com 是一个网站,可以被列入在浏览器劫持者的类别里。我们的安全专家之所以这样认为的主要原因非常简单 —— 这个网站是以其烦人的重定向到垃圾甚至是恶意网站而“著名”的。< a class="more_link" href="http://wubingdu.cn/search-fbdownloader-com/">更多
八月 14, 2017

Diablo6 勒索病毒

Diablo6 勒索病毒是新的 Locky Diablo6 病毒是最新的 Locky 勒索软件 。它以 RSA-2048 和 AES-128 加密密码的组合对受害者计算机上的数据进行加密,并将 .diablo6 文件扩展名添加到每个文件中。< a class="more_link" href="http://wubingdu.cn/diablo6-%e5%8b%92%e7%b4%a2%e7%97%85%e6%af%92/">更多
八月 14, 2017

Sage 2.2 勒索软件病毒

Sage 的传说在持续中:Sage 2.2 勒索软件在此 如果你曾听说过 Sage 勒索软件 和 Sage 2.0,那我们有个坏消息——Sage 2.2 最近在虚拟空间被发现了。< a class="more_link" href="http://wubingdu.cn/sage-2-2-%e5%8b%92%e7%b4%a2%e8%bd%af%e4%bb%b6%e7%97%85%e6%af%92/">更多

信息更新: 2016-12-08

来源:http://www.2-spyware.com/remote-administration-tools-removal

以其他语言阅读

文件
软件
比较
在我们的面子书上按赞