Keylogger, kako ga otkriti?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Napisano: 08 Dec 2009 20:05

Hvala doktore.

Dopuna: 02 Jan 2010 17:39

Može li preporuka nekog proverenog free ARK skenera?

Probao sam da DL - em Sophos, ali sam skeptik po pitanju registracije, pa bih ga eskivirao!

Probao sam od softvera ove namene:

- Aries Rootkit Remover, ništa nije pronašao, a skeniranje je trajalo celih 3 minuta.
- IceSword, ni on nije ništa detektovao.

Koja je verovatnoća da ni jedan ni drugi program nisu ništa pronašli? Da li se radi o ozbiljnim programima?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Aries služi za detekciju samo jednog rootkit-a ("DRM RK" instaliran pre par godina sa Sony-jevih CD-ova).

IceSword je vremešan, ali svejedno dobar (za ovo o čemu ovde pričamo).

U principu, mnogi AV / AM programi detektuju i komercijalne keyloggere (ako je to ono što te zanima) kao keyloggere ili bar potencijalno nepoželjne aplikacije (PUPs) pa i njihovo korišćenje može biti od koristi.

Citat:Koja je verovatnoća da ni jedan ni drugi program nisu ništa pronašli?

Pa to je dobro.

Tražiš nešto konkretno? Imaš razlog da sumnjaš na nešto?

• 2Ovo se svidja korisnicima: mcrule, pedja93
  
  Registruj se da bi pohvalio/la poruku!

Sumnjam doktore na nešto.

Ja imam dva računara (desktop i lap top). Desk mi je pod Win 7, a lap top pod Linux - Ubuntu. Ja nemam nešto mnogo programa na računaru (mislim na desk), a i to što imam sam ja instalirao jer sam jedini korisnik na tim računarima. Šta se dešava, pre par dana sam pronašao fajlove/program eblaster5 na mom desk kompu, a ja to definitivno nisam instalirao jer ne znam šta je taj program, a ni čemu služi. Tako da sam se bacio na surfovanje u cilju prikupljanja informacija o istom. Shvatio sam da je reč o keyloggeru, kog opet ja nisam instalirao, pa se postavlja pitanje, odakle onda u računaru? Svi fajlovi 'eblastera' su u "system32" folderu Win - a (koje sam slučajno otkrio gledajući nešto), a recimo pod "program files" ne postoji datoteka o postojanju samog blastera!! Dalje, sve više čitajući o blasteru shvatio sam da je reč o ozbiljnom programu koji može da prikuplja/snima sve sa mog desk kompa, počev od pritisnutih tastera, pa sve do startovanih aplikacija, poslatih mailova,itd...da ne pišem previše, smatram da si upoznat sa ovom tematikom i mislim da me pratiš sasvim dobro u ovom mom izlaganju.

Sada se vraćam na sami početak moje potrage o tim Anti rootkit programima, ne bih li pronašao još nešto za šta je nemam pojma da imam u računaru. Zato sam i pitao za Aries i Icesword, da li su ozbiljini programi u pitanju zbog razloga što nisu našli nešto što bi trebalo da nađu, zar ne? Mada sam sada shvatio da sam sa Aries - om promašio aplikaciju (nisam nigde pročitao da on hvata samo jedan rootkit, hvala na informaciji) opet iz razloga što ne znam o takvim programima ništa. Ovaj drugi manje/više sam nalazio i dobrih komentara i loših, ali eto odlučio sam da ga probam, ali i on ne nalazi ništa.

Da napomenem da sam folder "eblastera" uklonio iz "system32" jednostavnim brisanjem. Skenirao sam ceo računar sa sledećim programima:
- Avast Pro (iz Safe Moda, iz normalnog moda, zakazano skeniranje celog računara) ništa nije našao.
- MBAM (full scan), ništa nije našao.
- Win7 manager, ništa nije našao.
- Pregledao sam registry i nigde se ne pominje više reč "eblaster5", da li to znači da sam ga uspešno obrisao?

1. Kako je dospeo 'eblaster' na moj računar?
2. Da li je moguće da je neko upao i instalirao taj keylogger u cilju neke prevare/kontrole?
3. Kako je moguće pored PC Tools Firewall - a, Pro Avast - a, MBAM - a instalirati nešto, a da ovi navedeni programi ćute, tj. ne detektuju tako nešto, pa za šta služe onda?
4. Ja sam običan korisnik računara, ne radim ništa iz ove oblasti, zašto bih ja nekome bio meta za instaliranje keylogger- a, naravno ako je ta opcija u pitanju?

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

Pomenuti program je komercijalni keylogger i instalira se lokalno, tj. onaj koji ga instalira ima fizički pristup kompjuteru.

Teoretski, hacker koji bi uspeo da zadobije administrativni pristup bi mogao da izvrši i daljinsku instalaciju, no to je ozbiljan i (pre)veliki posao samo da bi se nekome "uvalio" neki glupi keylogger. Verovatnoća da se nešto toga tipa dogodi je značajno umanjena (rekao bih: do zanemarljive granice) ukoliko je mašina iza firewall-a.

Kažem "glupi" jer ovo nije ništa super napredno - postoji gomila malware-a koji je tehnološki godinama ispred ovakvih programa.

Ponekad se događa da sam malware instalira krekovane, unapred podešene verzije komercijalnih keyloggera.

Znači, postoje te tri mogućnosti. Ne mogu da kažem sa sigurnošću šta se dogodilo kod tebe, no kada bih nagađao, rekao bih; prva ili treća mogućnost.


Kažeš da si manuelno obrisao sve file-ove - to navodi na zaključak da keylogger nije bio aktivan; moguće je da nikada nije do kraja instaliran/aktiviran.


Nažalost, ne mogu ti dati preciznije odgovore, a da se previše upuštam u nagađanja; bilo bi neozbiljno.

Ono što mogu da ti kažem jeste da si dobrodošao sa temom u Ambulanti, ukoliko želiš proveru da li je to doista sve čisto.


I naravno, poželjno je, ako već nisi, da izmeniš šifre za logovanja, pogotovo ako koristiš e-banking.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Napisano: 03 Jan 2010 0:18

Šifre sam odmah izmenio.

Hvala na savetima i odgovorima doktore. Želim da mi se proveri komp, pokrenuću temu u Ambulanti.

Još jednom hvala za informacije.

Dopuna: 03 Jan 2010 0:55

E, da, još samo jedno pitanje (možda je banalno??). U čemu je razlika između komercijalnih i nekomercijalnih (ako se tako kaže) keyloggera?

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

Pod "komercijalni" podrazumevam ove koji se reklamiraju kao legitimni programi za monitoring.

Ovi ostali su prosto malware.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ok, hvala dok. još jednom.

P.S. Otvorio sam temu u Ambulanti.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

LJudi moze li mi neko objasniti nesto... Vidim da niko odavno ne pise ali eto iz ocaja cu da pokusam... Ja i jedan moj prijatelj igramo Texax Holdem poker preko facebooka ... napravili smo nekoliko puta par stotina miliona koliko izadjemo u kasne sate offline i ustanemo ujutro nashi chipovi nestanu... Mislim da je u pitanju neka organizovana prevara u toj igraonici molim vas da mi odgovorite kako bih ja to mogao sjutra ili kad vec o5 odem tamo da provalim da li ima nekog programa kao sto je taj keylogger ili nesto slicno da mi krade lozinq.. molim za sto brzi odgovor na Moj mail Losmi18/AT/live.com
Hvala unaprijed. Uzdravlje!

• 2Ovo se svidja korisnicima: mcrule, nemanja066
  
  Registruj se da bi pohvalio/la poruku!

@Daily Smokerr


Pozdrav i dobrodosao na forum. Odgovor na email neces dobiti, ali ces ga zato dobiti u ovoj temi.


Citat:Mislim da je u pitanju neka organizovana prevara u toj igraonici

Verovatno. Jednostavno, nemoj igrati u igraonici, igraj kod kuce. Svako logovanje na drugi racunar je kriticno jer ne znas sta je vlasnik tog racunara uradio (mozda je namerno podmetnuo keylogger).


Citat:molim vas da mi odgovorite kako bih ja to mogao sjutra ili kad vec o5 odem tamo da provalim da li ima nekog programa kao sto je taj keylogger ili nesto slicno da mi krade lozinq..

Racunari u igraonicama su obicno sa sistemima koji su pod restrikcijama - mnoge stvari ne rade, da nesavesni korisnik ne bi mogao da unisti sistem (ne mozes pokrenuti Task Manager, ne mozes pokrenuti Start menu, itd itd). U svakom slucaju, igraonica je kriticno mesto i ne bi trebalo da tu koristis internet za logovanje na svoje naloge (facebook, email, itd).

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

Jedini nacin da se dodje do cipova je da ti se neko uloguje na nalog i posalje cipove sebi, tako da ti preporucujem da obavezno promenis sifru od profila, zto sto on sada ima pristup njemu.