что такое кейлоггер самп
Что такое Кейлоггер?
Клавиатурный шпион относится к наиболее опасным вредоносным приложениям. Через него хакеры могут получить любую конфиденциальную информацию, в том числе платежные данные пользователя.
Определение кейлоггера
Кейлоггером является любой компонент программного обеспечения или оборудования, который умеет перехватывать и записывать все манипуляции с клавиатурой компьютера. Нередко кейлоггер находится между клавиатурой и операционной системой и перехватывает все действия пользователя. Этот инструмент либо хранит перехваченную информацию на зараженном компьютере, либо, если является частью более крупной атаки, все данные сразу передаются на удаленный компьютер организаторов атаки. Хотя термином «кейлоггер» обычно называют вредоносные программы, но порой его используют и правоохранительные органы.
Разновидности кейлоггеров
Хотя существует большое разнообразие вариантов кейлоггеров, но основное деление производится на программные и аппаратные. Чаще всего применяется программный кейлоггер, который является частью вредоносной программы, такой как троян или руткит. Как правило, это и более простой вариант получения доступа к интересующей системе без физического вмешательства. Один из самых распространенных типов программных кейлоггеров умеет разворачивать на целевой машине готовый API, записывающий каждое нажатие клавиш. Также применяются клавиатурные шпионы, реализованные на уровне системного ядра, шпионской надстройки «Атакующий-в-браузере» и других, более сложных конструкций.
Аппаратные кейлоггеры не так распространены, поскольку их сложнее реализовать на целевой машине. Такие клавиатурные шпионы необходимо устанавливать, имея непосредственный доступ к компьютеру, что повышает риск быть рассекреченным. Кстати, порой такие вещи устраивают на уровне производства, иногда даже встраивая в BIOS. Часто кейлоггеры могут быть встроены в USB-устройства: накопители или едва заметные вставки-переходники в шнуре клавиатуры. Хотя аппаратное шпионское оборудование сложнее установить, но оно более гибкое и менее зависимое от работы атакованной системы.
Метод заражения
Программные кейлоггеры часто устанавливаются в составе комплексного вредоносного программного обеспечения. Целевые компьютеры могут быть заражены во время скрытой загрузки при посещении зараженного сайта. Нередко клавиатурные шпионы могут быть различными способами и под различными предлогами встроены во вполне легальный софт. Аппаратные кейлоггеры устанавливает злоумышленник, имеющий физический доступ к интересующему компьютеру.
Обнаружение и удаление
Обнаружить вредоносные кейлоггеры весьма непросто, так как они ведут себя не всегда так, как многие другие вредоносные программы. Они не выискивают ценную информацию и не пересылают ее на удаленный сервер, они не пытаются уничтожить данные на зараженной машине. Клавиатурные шпионы делают свою работу тихо и незаметно. Антивирусные программы могут сканировать, обнаруживать и уничтожать все известные им варианты клавиатурных шпионов. Однако кейлоггеры, предназначенные для целевой атаки на конкретного пользователя, выявить непросто, так как чаще всего они не зарегистрированы в качестве известного вредоносного софта. Тем не менее рано или поздно, но они обнаруживаются, как только начинают проявлять себя путем несанкционированной отправки данных на удаленный сервер.
Если пользователь подозревает, что на его компьютере установлен клавиатурный шпион, то ряд приемов поможет защититься от вредителя. Например, загружать операционную систему с компакт-диска или USB-накопителя, а также пользоваться виртуальной экранной клавиатурой. Существуют и специализированные защитные инструменты, например, безопасный ввод реализован в Kaspersky Internet Security
Клавиатурный шпион Keylogger: обзор лучших программ
Отзывы пользователей
Клавиатурный шпион Keylogger: обзор лучших программ
Всем понятно, что перед тем как Keylogger скачать и установить, необходимо его выбрать! Представляем Вам полный обзор программ кейлоггеров. Из них Вы сможете выбрать лучший клавиатурный шпион, полностью подходящий Вашему устройству и требованиям.
Перед тем как предоставить Вам лучшие клавиатурные шпионы, мы ответим на самые популярные вопросы, которые задают нашим консультантам люди. Совсем недавно нам задали вопрос, который объединяет в себе все часто повторяющиеся: «Хочю установить кейлагер скачать не знаю где но очень нужно. За это мне ничего не будет? Можна скачать кейлагер бесплатно и проверить как работает?».
Что такое Keylogger?
Программа Keylogger – это шпионское приложение (клавиатурный шпион или keyboard spy), которое запоминает всё, что человек наживает на клавиатуре своего телефона, планшета, ноутбука или компьютера.
При помощи программы кейлоггер, Вы будете всегда знать, чем занимается человек на своем (рабочем) устройстве: что и кому пишет в социальных сетях, мессенджерах, электронной почте, Word, в игровых чатах и других приложениях; какие запросы вбивает в поисковики (Google, Яндекс); какие расчеты ведет на калькуляторе и многое другое.
Внимание! Исходя из того, с какого устройства Вы бы хотели получать все нажатия клавиш на клавиатуре(Android, iOS, Windows или Мас), Вам и нужно будет выбирать клавиатурного шпиона. Запомните: каждая программа кейлоггер рассчитана на конкретно свою операционную систему. И ту программу, которая работает на IPhone, невозможно будет установить на Android и тем более на компьютер.
Keylogger – это законно?
Кейлоггеры необходимы для контроля, а контроль не может быть незаконным, хотя это и разновидность шпионажа – как никак это keyboard spy. Однако, никакой такой «суперсекретной» информации (которую можно будет использовать против государства или мира) Вы добыть не сможете. Почему? Да всё очень просто! Установка клавиатурного шпиона происходит: во-первых, вручную, а во-вторых на устройства своих близких людей или сотрудников, к которым у Вас есть доступ. Так что установить кейлоггер на предателя страны, президента или скрытого суперагента, Вы, к сожалению не сможете.
Другими словами, Keylogger скачать и установить нужно будет своими руками и на устройства, к которым у Вас есть доступ. Запомните, ни один клавиатурный шпион не устанавливается при помощи СМС или каким-либо другим воздушным путем. Только вручную. Поэтому, логгирование клавиш (ребенка, мужа, жены, любимого человека и своих сотрудников) не будет для Вас чем-то незаконным.
Чем отличаются бесплатные кейлоггеры от платных?
Позже, когда Вы прочитаете данный обзор лучших клавиатурных шпионов и, возможно, испробуете несколько, Вы сами убедитесь в том, что – абсолютно (!) все программы Keylogger скачать бесплатно можно с их официальных сайтов. Другими словами, все кейлоггеры (бесплатные и платные) находятся в свободном доступе, и скачать их установочный файл можно абсолютно бесплатно. А вот потом… потом, после установки и тестового периода (чтобы Вы проверили работу) некоторые клавиатурные шпионы нужно оплатить, а некоторые так и продолжают работать бесплатно. В чем подвох?
А собака зарыта вот в чем. Во-первых, бесплатные кейлоггеры не скрываются и после установки их легко обнаружить. Во-вторых, они имеют очень скудный функционал, а у некоторых, кроме перехвата нажатий клавиш, вообще ничего больше нет. В-третьих, у них нет техподдержки, и если Ваше устройство, например, с 9 Андроида обновилось до Андроида 10, то возможно, эта программа просто перестанет функционировать. Т.е. бесплатный Keylogger – это узкопрофильный софт, свободно плавающий маленькой лодочкой в бушующем океане постоянных обновлений.
По аналогии, Вы уже сами понимаете, что у платных шпионов значок скрывается, они работают тихо и незаметно. Однажды установив, Вы будете получать своевременное обновление. И еще – после установки их невозможно обнаружить. Они не обнаруживаются антивирусами. Кроме того, вход в программу закрыт паролем, а удаление возможно только изнутри самой программы. Огромный функционал, который предоставит действительно полную информацию обо всех действиях человека на своем устройстве. Т.е. платные кейлоггеры – это полноценные шпионские программы с серьезной техподдержкой.
1. Reptilicus – приложение с функцией Keylogger
Мы начинаем свой обзор лучших клавиатурных шпионов с многофункционального приложения-логгера Reptilicus, у которого наряду с другими функциями, есть функция кейлоггер. На сайте Вы сможете скачать клавиатурный шпион бесплатно на русском языке. Кстати, весь сайт, всё руководство, видео и техподдержка Рептиликуса – 100% на русском языке. Есть бесплатная пробная версия, которая ничем не отличается от обычной. В этот тестовый период Вы сможете проверить, как работает приложение и куда оно передает собранную информацию.
После установки клавиатурного шпиона Reptilicus Вы будете получать:
Немаловажно, что все нажатия клавиатуры приходят в очень удобной форме. Сразу становится ясно, в каком приложении набирался текст. Социальная сеть ли это, мессенджер, игра или калькулятор.
Чтобы начать получать данные, нужно установить приложение на устройство:
На сайте есть руководство по установке в картинках, где подробно описаны шаги установки, а также видео-инструкция, которую можно просто посмотреть.
Плюсы:
Минусы:
2. WideStep Handy Keylogger для ПК
Следующим по списку идет клавиатурный шпион для компьютеров и ноутбуков WideStep Handy Keylogger. У него есть две версии – платная и бесплатная. Бесплатный кейлоггер будет перехватывать нажатия клавиши отправлять их Вам на почту с той периодичность, которую Вы сами и установите. Очень удобная и простая в установке. При оплаченной подписке в 35$ программу можно будет скрыть. Также добавляются другие функции, например, скриншоты экрана и история браузера.
Плюсы:
Минусы:
3. Golden Keylogger – бесплатный keyboard spy.
Данный Keylogger бесплатный и никаких добавочных платных версий он не имеет. Работает на компьютерах и ноутбуках с операционной системой Windows и МАС. Свое прямое назначение – перехват нажатий всех клавиш на клавиатуре компьютера – выполняет на 5+. Перехватывает все без разбору, и комбинации клавиш, и пароли, и даже символы, когда переключаешься на другой регистр. Скачать бесплатный кейлоггер не составит никакого труда, установка очень простая. Все данные будут приходить в папку (автоматом создастся при установке), которая находится на рабочем столе ПК.
Плюсы:
Минусы:
4. SC-KeyLog
Еще один прекрасный бесплатный keyboard spy. Хотя назвать его шпионом можно с очень сильной натяжкой. Почему? Да потому, что установка оставит после себя такие следы, которые может не заметить только слепой, даун или ребенок 3-х лет. Установка происходит при помощи программы Wizard, которая запуститься автоматически, как только Вы смогли скачать данный кейлоггер на свой ПК. Имеет неплохой функционал для бесплатных клавиатурных шпионов. Фиксирует тексты с практически всех (известных и не очень) социальных сетей и мессенджеров. Позволяет не только осуществить слежение за клавиатурой, но запомнить все клики мышки. Перехватит все, что писали на электронной почте и в поисковиках. Фиксирует начало и завершение работы на компьютере, а также каждой программы отдельно.
Плюсы:
Минусы:
5. Actual Spy
Продолжает наш обзор лучших кейлоггеров, приложение Actual Spy. Это довольно сложный софт, у которого довольно большой функционал. Есть платная и бесплатная версия. Фишка – как только человек начинает работать на компьютере, приложение тут же начинает не только следить за клавиатурой, но и делать ежесекундные скриншоты экрана. В отчете будет приходить время набора текста и время сделанных снимков, что согласитесь очень удобно. Можно установить время для работы этого keyboard spy, если Вам не нужно круглосуточное отслеживание.
Плюсы
Минусы:
6. SPYGO – бесплатный кейлоггер
Этот клавиатурный шпион бесплатный на русском языке и является разработкой российских программистов. Позиционируется как перехватчик клавиатуры, который можно устанавливать исключительно на свои собственные устройства, так как он (привожу дословно) «не предназначен для скрытого наблюдения за чужим ПК». Так сказать, домашний безобидный шпион для нажатий клавиш на клавиатуре. Так что имейте в виду, что он идеально подойдет тем, у кого компьютером пользуются сразу несколько человек, например, муж/жена, ребенок и Вы сами. В зависимости от стоимости подписки, будет различное количество доступных возможностей. Другими словами, функция кейлоггер может быть добавлена другими функциями за определенную плату.
Плюсы:
Минусы:
7. Ardamax Keylogger
Эта маленькая бесплатная программа Keylogger отличается от всех вышеописанных тем, что она очень и очень простая и неприметная. Ей очень удобно управлять и устанавливать под себя настройки. Конечно же, кроме перехвата нажатий клавиатуры она ничего не умеет, но делает это виртуозно и безотказно. Можно выставить время перехвата и время отправки данных. Также можно активировать пересылку данных на Вашу почту.
Плюсы:
Минусы:
8. The Rat!
Плюсы:
Минусы:
9. NS Keylogger Personal Monitor
Бесплатный кейлоггер, который умеет скрываться. Найти его достаточно тяжело, что нехарактерно для бесплатных софтов. Конечно, при желании найти его и удалить все-таки можно. Устанавливается быстро и легко. Данный шпион клавиатуры скачать бесплатно и пользоваться им бесплатно сможет любой желающий. Очень удобная программа. Кроме слежения за клавиатурой имеет ряд других функций, например, видеть какие документы открывались, а какие приложения устанавливались на устройстве.
Плюсы:
Минусы:
10. EliteKeylogger
При помощи данного приложения, слежение за клавиатурой будет идти незаметно и комфортно. Достаточно дорогой в использовании, около 69$, но на то он и элитный кейлоггер. Скачать его можно с их официального сайта. Есть пробный бесплатный период. Кроме стандартного функционала имеет возможность послать на печать все полученные данные. Работает скрытно и тяжело дается обнаружению как человеку, так и антивирусам и антикейлоггерам. Перехватывает абсолютно все нажатия клавиатуры, в том числе служебные CTRL, SHIFT и другие, а также F1…F11. Предоставляет историю браузера и открытых документов.
Плюсы:
Минусы:
Заключение
Запомните, что любой клавиатурный шпион скачать бесплатно можно с их сайта. Абсолютно все программы скачиваются бесплатно. Если с Вас за скачивание установочного файлы будут требовать оплату – бегите с этого сайта, это мошенники.
Остались вопросы? Пишите нашим онлайн-консультантам!
Что такое клавиатурный шпион (кейлоггер)?
Кейлоггер может быть аппаратным или программным и использоваться как легитимный индивидуальный или профессиональный инструмент для IT-мониторинга. Тем не менее, перехват нажатия клавиш может применяться и в преступных целях.
Почему кейлоггер является угрозой
Если вы не знаете о том, что все, что вы набираете на клавиатуре вашего компьютера, записывается, вы можете непреднамеренно раскрыть свои пароли, номера кредитных карт, сообщения, номера финансовых счетов и другую конфиденциальную информацию третьим лицам.
Преступники могут использовать эту информацию для получения доступа к вашим учетным записям еще до того, как вы узнаете, что ваши конфиденциальные данные были похищены.
Кейлоггер может находиться в операционной системе компьютера, на уровне программного интерфейса клавиатуры, в памяти или входить в состав ядра операционной системы. Клавиатурного шпиона трудно обнаружить, поскольку он не всегда вызывает ощутимые проблемы с компьютером, такие как замедление процессов или сбои в работе. Его непросто обнаружить даже некоторым антивирусными программам, потому что шпионское ПО хорошо прячется: оно часто появляется в виде обычных файлов или трафика, а также может переустановить себя.
К счастью, от кейлоггеров можно защититься. Постоянное обновление вашей операционной системы, программных продуктов и веб-браузеров с использованием новейших патчей безопасности должно быть частью вашего защитного решения.
Но лучшей защитой является установка хорошего антишпионского продукта, который защищает от клавиатурных шпионов, или полноценного защитного решения с функциями предотвращения использования кейлоггеров на компьютере.
Кейлоггер с сюрпризом: анализ клавиатурного шпиона и деанон его разработчика
В последние годы мобильные трояны активно вытесняют трояны для персональных компьютеров, поэтому появление новых вредоносных программ под старые добрые «тачки» и их активное использование киберпреступниками, хотя и неприятное, но все-таки событие. Недавно центр круглосуточного реагирования на инциденты информационной безопасности CERT Group-IB зафиксировал необычную фишинговую рассылку, за которой скрывалась новая вредоносная программа для ПК, сочетающая в себе функции Keylogger и PasswordStealer. Внимание аналитиков привлекло то, каким образом шпионская программа попадала на машину пользователя — с помощью популярного голосового мессенджера. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB рассказал, как работает вредоносная программа, чем она опасна, и даже нашел ее создателя — в далеком Ираке.
Итак, пойдем по порядку. Под видом вложения в таком вот письме содержалась картинка, при клике на которую пользователь попадал на сайт cdn.discordapp.com, и оттуда загружался вредоносный файл.
Использование Discord, бесплатного голосового и текстового мессенджера, достаточно нестандартно. Обычно для этих целей используются другие мессенджеры или социальные сети.
В процессе более детального анализа было установлено семейство ВПО. Им оказался новичок на рынке вредоносных программ — 404 Keylogger.
Первое объявление о продаже кейлоггера было размещено на hackforums пользователем под ником «404 Coder» 8 августа.
Домен магазина был зарегистрирован совсем недавно — 7 сентября 2019 года.
Как уверяют разработчики на сайте 404projects[.]xyz, 404 — это инструмент, созданный, чтобы помочь компаниям узнавать о действиях своих клиентов (с их разрешения) или он нужен тем, кто желает защитить свой бинарный файл от реверс-инжиниринга. Забегая вперед, скажем, что с последней задачей 404 точно не справляется.
Мы решили разреверсить один из файлов и проверить, что из себя представляет «BEST SMART KEYLOGGER».
Экосистема ВПО
Загрузчик 1 (AtillaCrypter)
Исходный файл защищен при помощи EaxObfuscator и осуществляет двухэтапную загрузку AtProtect из секции ресурсов. В ходе анализа других сэмплов, найденных на VirusTotal, стало понятно, что эта стадия не предусматривалась самим разработчиком, а была добавлена его клиентом. В дальнейшем было установлено, что этим загрузчиком является AtillaCrypter.
Загрузчик 2 (AtProtect)
По факту этот загрузчик является неотъемлемой частью ВПО и, по замыслу разработчика, должен брать на себя функционал по противодействию анализу.
Однако на практике механизмы защиты крайне примитивны, и наши системы успешно детектят это ВПО.
Загрузка основного модуля осуществляется при помощи Franchy ShellCode различных версий. Однако мы не исключаем, что могли использоваться и другие варианты, например, RunPE.
Конфигурационный файл
Закрепление в системе
Закрепление в системе обеспечивается загрузчиком AtProtect, если установлен соответствующий флаг.
Взаимодействие с C&C
Загрузчик AtProtect
При наличии соответствующего флага ВПО может запустить скрытый процесс iexplorer и перейти по указанной ссылке, чтобы уведомить сервер об успешном заражении.
DataStealer
Вне зависимости от используемого метода сетевое взаимодействие начинается с получения внешнего IP жертвы с помощью ресурса [http]://checkip[.]dyndns[.]org/.
Далее следует информация о системе:
_______ + VICTIM INFO + _______
И, наконец, — передаваемые данные.
Интересно, что для доставки писем клиенту 404 Keylogger используется SMTP-сервер разработчиков.
Это позволило выявить некоторых клиентов, а также почту одного из разработчиков.
При использовании этого метода собираемая информация сохраняется в файл и сразу же оттуда читается.
Логика этого действия не совсем понятна, однако это создает дополнительный артефакт для написания поведенческих правил.
Pastebin
На момент анализа этот метод применяется только для передачи украденных паролей. Причем он используется не как альтернатива первым двум, а параллельно. Условием является значение константы, равное «Vavaa». Предположительно, это имя клиента.
Взаимодействие происходит по https-протоколу через API pastebin. Значение api_paste_private равно PASTE_UNLISTED, что запрещает поиск таких страниц в pastebin.
Алгоритмы шифрования
Извлечение файла из ресурсов
Полезная нагрузка хранится в ресурсах загрузчика AtProtect в виде Bitmap-картинок. Извлечение осуществляется в несколько стадий:
Вредоносный функционал
Downloader
Реализуется в загрузчике AtProtect.
Условно они делятся на два типа:
Keylogger
Период отправки лога: 30 минут.
Поддерживаются все символы. Спецсимволы экранируются. Есть обработка клавиш BackSpace и Delete. Учитывается регистр.
ClipboardLogger
Период отправки лога: 30 минут.
Период опроса буфера: 0,1 секунды.
Реализовано экранирование ссылок.
ScreenLogger
Период отправки лога: 60 минут.
Скриншоты сохраняются в %HOMEDRIVE%%HOMEPATH%\\Documents\\404k\\404pic.png.
После отправки папка 404k удаляется.
PasswordStealer
| Браузеры | Почтовые клиенты | FTP-клиенты |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| IceDragon | ||
| PaleMoon | ||
| Cyberfox | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360Browser | ||
| ComodoDragon | ||
| 360Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Chromium | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Orbitum | ||
| CocCoc | ||
| Torch | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Противодействие динамическому анализу
Неактивные возможности
В ходе анализа загрузчика и основного модуля были найдены функции, отвечающие за дополнительный функционал, однако они нигде не используются. Вероятно, это связано с тем, что ВПО все еще в разработке, и вскоре функциональность будет расширена.
Загрузчик AtProtect
Была найдена функция, отвечающая за подгрузку и инжект в процесс msiexec.exe произвольного модуля.
DataStealer
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| anubis | Findviru | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Rav7 | norton |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| keyscrambler | F-Stopw | Rescue | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Scan32 | ccsetmgr |
| Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
| Outpost | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload95 | Scrscan | avcenter |
| ANTIVIR | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | Smc | avguard |
| ATRACK | Icsupp95 | SMCSERVICE | avnotify |
| Autodown | Icsuppnt | Snort | avscan |
| Avconsol | Iface | Sphinx | guardgui |
| Ave32 | Iomon98 | Sweep95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown2000 | Tbscan | clamscan |
| Avnt | Lookout | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | MCAFEE | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | Mpftray | Vet95 | sigtool |
| Avpm | N32scanw | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Wclose |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | Zonealarm | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | Nisum | RESCUE32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | sched |
| Claw95 | NORTON | avgcc | preupd |
| Claw95cf | Nupgrade | avgamsvr | MsMpEng |
| Cleaner | Nvc95 | avgupsvc | MSASCui |
| Cleaner3 | Outpost | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
ВПО получает список съемных носителей. В корне файловой системы носителя создается копия ВПО с именем Sys.exe. Автозапуск реализован при помощи файла autorun.inf.
Профиль злоумышленника
В ходе анализа командного центра удалось установить почту и ник разработчика — Razer, он же Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Далее было найдено любопытное видео на YouTube, где демонстрируется работа с билдером.
Это позволило найти оригинальный канал разработчика.
Стало ясно, что опыт в написании крипторов у него имеется. Там же есть ссылки на страницы в социальных сетях, а также настоящее имя автора. Им оказался житель Ирака.
Вот так, предположительно, выглядит разработчик 404 Keylogger. Фото из его личного профиля в Facebook.
CERT Group-IB оповестил о новой угрозе — 404 Keylogger — круглосуточный центр мониторинга и реагирования на киберугрозы (SOC) в Бахрейне.