Les chevaux de Troie d'accès à distance^{(Remote Access Trojans)} ( RAT ) se sont toujours révélés être un gros risque pour ce monde lorsqu'il s'agit de détourner un ordinateur ou simplement de faire une farce avec un ami. Un RAT est un logiciel malveillant qui permet à l'opérateur d'attaquer un ordinateur et d'y accéder à distance sans autorisation. Les RAT^(RATs) sont là depuis des années, et ils persistent car trouver des RAT^(RATs) est une tâche difficile, même pour les logiciels antivirus modernes .

Dans cet article, nous verrons ce qu'est un cheval de Troie d'accès^{(Access Trojan)} à distance et parlerons des techniques de détection et de suppression disponibles. Il explique également, en bref, certains des RAT courants comme^(RATs) CyberGate ,^(CyberGate) DarkComet ,^(DarkComet) Optix ,^(Optix) Shark ,^(Shark) Havex ,^(Havex) ComRat ,^(ComRat) VorteX Rat^{(VorteX Rat)} , Sakula et KjW0rm .

Que sont les chevaux de Troie d'accès à distance

Cheval de Troie d'accès à distance

La plupart des chevaux de Troie d'accès à distance^{(Remote Access Trojan)} sont téléchargés dans des e-mails malveillants, des programmes non autorisés et des liens Web qui ne vous mènent nulle part. Les RAT^(RATs) ne sont pas simples comme les programmes Keylogger - ils offrent à l'attaquant de nombreuses fonctionnalités telles que :

Keylogging : vos frappes peuvent être surveillées et les noms d'utilisateur, mots de passe et autres informations sensibles peuvent en être récupérés.
Capture^{(Screen Capture)} d'écran : Des captures d'écran peuvent être obtenues pour voir ce qui se passe sur votre ordinateur.
Capture multimédia matérielle^{(Hardware Media Capture)} : les RAT peuvent accéder à votre webcam et à votre micro pour vous enregistrer, vous et votre environnement, en violation totale de la vie privée.
Droits d'administration^{(Administration Rights)} : L'attaquant peut changer n'importe quel paramètre, modifier les valeurs de registre et faire beaucoup plus sur votre ordinateur sans votre permission. RAT peut fournir des privilèges de niveau administrateur à l'attaquant.
Overclocking : L'attaquant peut augmenter les vitesses du processeur, l'overclocking du système peut endommager les composants matériels et éventuellement les réduire en cendres.
Autres capacités spécifiques au système^{(Other system-specific capabilitie)} : l'attaquant peut avoir accès à tout ce qui se trouve sur votre ordinateur, vos fichiers, vos mots de passe, vos chats et à tout.

Comment fonctionnent les chevaux de Troie d'accès à distance

^{(Remote Access)} Les chevaux de Troie ^(Trojans)d'accès à distance se présentent sous la forme d'une configuration serveur-client dans laquelle le serveur est secrètement installé sur le PC victime, et le client peut être utilisé pour accéder au PC victime via une interface graphique^(GUI) ou une interface de commande. Un lien entre le serveur et le client est ouvert sur un port spécifique, et une communication cryptée ou en clair peut se produire entre le serveur et le client. Si le réseau et les paquets envoyés/reçus sont surveillés correctement, les RAT^(RATs) peuvent être identifiés et supprimés.

Prévention des attaques RAT

Les RAT^(RATs) se dirigent vers les ordinateurs à partir de spams^{(spam emails)} , de logiciels programmés de manière malveillante ou sont intégrés à d'autres logiciels ou applications. Vous devez toujours avoir un bon programme antivirus installé sur votre ordinateur qui peut détecter et éliminer les RAT^(RATs) . La détection des RAT^(RATs) est une tâche assez difficile car ils sont installés sous un nom aléatoire qui peut ressembler à n'importe quelle autre application courante, et vous devez donc disposer d'un très bon programme antivirus pour cela.

La surveillance de votre réseau^{(Monitoring your network)} peut également être un bon moyen de détecter tout cheval de Troie^(Trojan) envoyant vos données personnelles sur Internet.

Si vous n'utilisez pas les outils d'administration à distance^{(Remote Administration Tools)} , désactivez les connexions d'assistance à distance^{(disable Remote Assistance connections)} à votre ordinateur. Vous obtiendrez le paramètre dans SystemProperties > Remote onglet Remote > Uncheck Autoriser les connexions d'assistance à distance à cet ordinateur^{(Allow Remote Assistance connections to this computer)} .

Gardez votre système d'exploitation, les logiciels installés et en particulier les programmes de sécurité à jour^{(security programs updated)} à tout moment. Essayez également de ne pas cliquer sur des e-mails auxquels vous ne faites pas confiance et qui proviennent d'une source inconnue. Ne téléchargez aucun logiciel à partir de sources autres que son site Web officiel ou son miroir.

Après l'attaque du RAT

Une fois que vous savez que vous avez été attaqué, la première étape consiste à déconnecter votre système d' Internet et du réseau^(Network) si vous êtes connecté. Modifiez^(Change) tous vos mots de passe et autres informations sensibles et vérifiez si l'un de vos comptes a été compromis à l'aide d'un autre ordinateur propre. Vérifiez vos comptes bancaires pour toute transaction frauduleuse et informez immédiatement votre banque du cheval de Troie^(Trojan) dans votre ordinateur. Analysez ensuite l'ordinateur pour détecter les problèmes et demandez l'aide d'un professionnel pour supprimer le RAT . Envisagez de fermer le port 80 . Utilisez un scanner de port de pare -feu pour vérifier tous vos ports.

Vous pouvez même essayer de revenir en arrière et de savoir qui était derrière l'attaque, mais vous aurez besoin de l'aide d'un professionnel pour cela. Les RAT peuvent généralement être supprimés une fois qu'ils sont détectés, ou vous pouvez avoir une nouvelle installation de Windows pour le supprimer complètement.

Chevaux de Troie courants d'accès à distance

De nombreux chevaux de Troie ^(Trojans)d'accès à distance^{(Remote Access)} sont actuellement actifs et infectent des millions d'appareils. Les plus notoires sont discutés ici dans cet article:

Sub7 : 'Sub7' dérivé de l'orthographe NetBus (un ancien RAT ) à l'envers est un outil d'administration à distance gratuit qui vous permet de contrôler le PC hôte. L'outil a été classé dans les chevaux de Troie par des experts en sécurité, et il peut être potentiellement risqué de l'avoir sur votre ordinateur.
Back Orifice : Back Orifice et son successeur Back Orifice 2000 est un outil gratuit qui était à l'origine destiné à l'administration à distance - mais il n'a pas fallu le temps que l'outil soit converti en un cheval de Troie d'accès^{(Access Trojan)} à distance . Il y a eu une controverse sur le fait que cet outil est un cheval de Troie^(Trojan) , mais les développeurs sont convaincus qu'il s'agit d'un outil légitime qui fournit un accès à l'administration à distance. Le programme est maintenant identifié comme un malware par la plupart des programmes antivirus.
DarkComet : C'est un outil d'administration à distance très extensible avec beaucoup de fonctionnalités qui pourraient être potentiellement utilisées pour l'espionnage. L'outil a également ses liens avec la guerre civile^{(Civil War)} syrienne où il est rapporté que le gouvernement a^(Government) utilisé cet outil pour espionner les civils. L'outil a déjà été beaucoup utilisé à mauvais escient et les développeurs ont arrêté son développement ultérieur.
sharK : C'est un outil d'administration à distance avancé. Non destiné aux débutants et aux pirates amateurs. On dit que c'est un outil pour les professionnels de la sécurité et les utilisateurs avancés.
Havex : Ce cheval de Troie a été largement utilisé contre le secteur industriel. Il recueille des informations, y compris la présence de tout système de contrôle industriel^{(Industrial Control System)} , puis transmet les mêmes informations à des sites Web distants.
Sakula : Un cheval de Troie^(Trojan) d'accès à distance fourni par un programme d'installation de votre choix. Il indiquera qu'il installe un outil sur votre ordinateur, mais installera le logiciel malveillant avec lui.
KjW0rm : Ce cheval de Troie^(Trojan) est livré avec de nombreuses fonctionnalités mais déjà marqué comme une menace par de nombreux outils antivirus .

Ces chevaux de Troie d'accès à distance^{(Remote Access Trojan)} ont aidé de nombreux pirates à compromettre des millions d'ordinateurs. Avoir une protection contre ces outils est indispensable, et un bon programme de sécurité avec un utilisateur averti est tout ce qu'il faut pour empêcher ces chevaux de Troie de compromettre votre ordinateur.

Ce message était censé être un article informatif sur les RAT^(RATs) et ne promeut en aucun cas leur utilisation. Il peut y avoir des lois légales sur l'utilisation de ces outils dans votre pays, dans tous les cas.

En savoir plus sur les outils d'administration à distance^{(Remote Administration Tools)} ici.

What is Remote Access Trojan? Prevention, Detection & Removal

Remote Access Trojans (RAT) have always proved to be a big risk to this world when it comes to hijacking a computer or just playing a prank with a friend. A RAT is malicious software that lets the operator attack a computer and gain unauthorized remote access to it. RATs have been here for years, and they persist as finding some RATs is a difficult task even for the modern Antivirus software out there.

In this post, we will see what is Remote Access Trojan and talks about detection & removal techniques available. It also explains, in short, some of the common RATs like CyberGate, DarkComet, Optix, Shark, Havex, ComRat, VorteX Rat, Sakula and KjW0rm.

What are Remote Access Trojans

Remote Access Trojan

Most of the Remote Access Trojan are downloaded in malicious emails, unauthorized programs and web links that take you nowhere. RATs are not simple like Keylogger programs – they provide the attacker with a lot of capabilities such as:

Keylogging: Your keystrokes could be monitored, and usernames, passwords, and other sensitive information could be recovered from it.
Screen Capture: Screenshots can be obtained to see what is going on your computer.
Hardware Media Capture: RATs can take access to your webcam and mic to record you and your surroundings completely violating privacy.
Administration Rights: The attacker may change any settings, modify registry values and do a lot more to your computer without your permission. RAT can provide an administrator-level privileges to the attacker.
Overclocking: The attacker may increase processor speeds, overclocking the system can harm the hardware components and eventually burn them to ashes.
Other system-specific capabilities: Attacker can have access to anything on your computer, your files, passwords, chats and just anything.

How do Remote Access Trojans work

Remote Access Trojans come in a server-client configuration where the server is covertly installed on the victim PC, and the client can be used to access the victim PC through a GUI or a command interface. A link between server and client is opened on a specific port, and encrypted or plain communication can happen between the server and the client. If the network and packets sent/received are monitored properly, RATs can be identified and removed.

RAT attack Prevention

RATs make their way to computers from spam emails, maliciously programmed software or they come packed as a part of some other software or application. You must always have a good antivirus program installed on your computer that can detect and eliminate RATs. Detecting RATs is quite a difficult task as they are installed under a random name that may seem like any other common application, and so you need to have a really good Antivirus program for that.

Monitoring your network can also be a good way to detect any Trojan sending your personal data over the internet.

If you don’t use Remote Administration Tools, disable Remote Assistance connections to your computer. You will get the setting in SystemProperties > Remote tab > Uncheck Allow Remote Assistance connections to this computer option.

Keep your operating system, installed software and particularly security programs updated at all times. Also, try not to click on emails that you don’t trust and are from an unknown source. Do not download any software from sources other than its official website or mirror.

After the RAT attack

Once you know you’ve been attacked, the first step is to disconnect your system from the Internet and the Network if you are connected. Change all your passwords and other sensitive information and check if any of your accounts has been compromised using another clean computer. Check your bank accounts for any fraudulent transactions and immediately inform your bank about the Trojan in your computer. Then scan the computer for issues and seek professional help for removing the RAT. Consider closing Port 80. Use a Firewall Port Scanner to check all your Ports.

You can even try to back-track and know who was behind the attack, but you’ll need professional help for that. RATs can usually be removed once they are detected, or you can have a fresh installation of Windows to completely remove it off.

Common Remote Access Trojans

Many Remote Access Trojans are currently active now and infecting millions of devices. The most notorious ones are discussed here in this article:

Sub7: ‘Sub7’ derived by spelling NetBus (an older RAT) backward is a free remote administration tool that lets you have control over the host PC. The tool has been categorized into Trojans by security experts, and it can be potentially risky to have it on your computer.
Back Orifice: Back Orifice and its successor Back Orifice 2000 is a free tool that was originally meant for remote administration – but it didn’t take the time that the tool got converted into a Remote Access Trojan. There has been a controversy that this tool is a Trojan, but developers stand upon the fact that it is a legitimate tool that provides remote administration access. The program is now identified as malware by most of antivirus programs.
DarkComet: It is a very extensible remote administration tool with a lot of features that could be potentially used for spying. The tool also has its links with the Syrian Civil War where it is reported that the Government used this tool to spy on civilians. The tool has already been misused a lot, and the developers have stopped its further development.
sharK: It is an advanced remote administration tool. Not meant for beginners and amateur hackers. It is said to be a tool for security professionals and advanced users.
Havex: This trojan has been extensively used against the industrial sector. It collects information including the presence of any Industrial Control System and then passes on the same information to remote websites.
Sakula: A remote access Trojan that comes in an installer of your choice. It will depict that it is installing some tool on your computer but will install the malware along with it.
KjW0rm: This Trojan comes packed with a lot of capabilities but already marked as a threat by many Antivirus tools.

These Remote Access Trojan have helped many hackers compromise millions of computers. Having protection against these tools is a must, and a good security program with an alert user is all it takes to prevent these Trojans from compromising your computer.

This post was meant to be an informative article about RATs and does not in any way promote their usage. There may be some legal laws about the usage of such tools in your country, in any case.

Read more about Remote Administration Tools here.

Nicolas Vidal

About the author

Je suis un ingénieur logiciel avec plus de 10 ans d'expérience dans l'industrie du logiciel. Je me spécialise dans la création et la maintenance d'applications logicielles individuelles et d'entreprise, ainsi que dans le développement d'outils de développement pour les petites entreprises et les grandes organisations. Mes compétences résident dans le développement d'outils robustes de codeBase, de débogage et de test, et dans la collaboration étroite avec les utilisateurs finaux pour garantir que leurs applications fonctionnent parfaitement.

Qu'est-ce qu'un cheval de Troie d'accès à distance ? Prévention, détection et suppression

Que sont les chevaux de Troie d'accès à distance

Comment fonctionnent les chevaux de Troie d'accès à distance

Prévention des attaques RAT

Après l'attaque du RAT

Chevaux de Troie courants d'accès à distance

What is Remote Access Trojan? Prevention, Detection & Removal

What are Remote Access Trojans

How do Remote Access Trojans work

RAT attack Prevention

After the RAT attack

Common Remote Access Trojans

Nicolas Vidal

About the author

Related posts

DLL Hijacking Vulnerability Attacks, Prevention & Detection

À distance Administration Tools: Risques, Threats, Prevention

Bundleware: définition, Prevention, Removal Guide

Browser Hijacking and Free Browser Hijacker Removal Tools

Malware Removal Tools libre Specific Virus en Windows 11/10

Qu'est-ce que Cyber crime? Comment y faire face?

Comment pouvez-vous obtenir un computer virus, Trojan, Travail, spyware or malware?

Comment supprimer Virus Alert de Microsoft sur Windows PC

Liste de Remote Access software pour Windows 10 gratuit

Comment checter Registry pour les logiciels malveillants dans Windows 10

Comment désinstaller ou supprimer Driver Tonic de Windows 10

Comment empêcher Malware - Conseils pour fixer Windows 11/10

Cyber Attacks - Définition, Types, prévention

26 meilleurs outils de suppression de logiciels malveillants gratuits

NeoRouter est un Zero Configuration Remote Access & VPN Solution

Qu'est-ce que CandyOpen? Comment supprimer CandyOpen de Windows 10?

Comment supprimer les virus de Windows 10; Malware Removal Guide

Comment vérifier si un fichier est malveillant ou non sous Windows 11/10

Comment faire pour éviter Phishing Scams and Attacks?

Configurer Chrome Remote Desktop pour accéder à distance à n'importe quel PC