что такое клавиатурный шпион
Что такое клавиатурный шпион, как его обнаружить и удалить
Кейлоггер для пк записывает каждое нажатие клавиш на клавиатуре вашего компьютера. Таким образом, хакер может определять логины и пароли от разных сайтов.
Что такое кейлоггер?
Кейлоггеры также известны как регистраторы нажатий клавиш. Они запускаются сразу после старта операционной системы. Кейлоггер записывает каждое нажатие любой клавиши или только те, которые будут сделаны в определенных полях на сайтах.
Существует множество сценариев работы кейлоггеров. Особенно сложно противодействовать руткит. Антивирусные программы обычно не могут добраться до этого уровня, и поэтому подобные клавиатурные шпионы продолжают работать без каких-либо помех.
Аппаратные кейлоггеры
Не все кейлоггеры являются программами. Существует множество аппаратных шпионов. К ним относятся накладки на клавиатуру, акустические кейлоггеры (идентифицируют клавишу по звуку нажатия) и другие.
Но все-таки самые опасные – это программные кейлоггеры, которые хакеры распространяют через интернет.
Как кейлоггеры попадают на ваш компьютер
Лучший способ предотвратить запуск кейлоггера – заблокировать его еще до того, как он будет установлен. Для этого необходимо использовать хорошее антивирусное программное обеспечение.
Трояны часто состоят из нескольких частей, каждая из которых специализируется на определенной задаче. Исходный троян может работать как загрузчик, который распространяет вирусы. Кейлоггер запишет нажатия клавиш, а другой модуль отправит эту информацию злоумышленнику.
Как обнаружить кейлоггер
Самый простой способ обнаружить вирусное программное обеспечение – открыть диспетчер задач и проверить запущенные процессы. Многие из фоновых процессов имеют непонятные названия. Но их можно идентифицировать с помощью справочной документации, доступной в Сети.
В Windows правой кнопкой мыши по панели задач и выберите из контекстного меню пункт «Диспетчер задач».
Кейлоггеры стоит искать в разделе «Фоновые процессы» или «Автозагрузка», потому что они могут запускаться одновременно с операционной системой.
Чтобы избавиться от одной из программ в автозагрузке, кликните по строке с ее названием, а затем нажмите кнопку «Отключить», расположенную в нижней части окна.
Еще одно место для поиска подозрительной активности — отчет об использовании интернета приложениями ПК. Откройте панель управления, войдите в раздел «Сеть и Интернет» и выберите опцию «Использование данных».
Нажмите на кнопку «Просмотр сведений об использовании», чтобы увидеть список программ, которые имеют доступ к интернету. После этого идентифицируйте незнакомые вам программы.
Выполните аналогичную проверку расширений браузера. Отключите те, которые вы не устанавливали или не используете.
Чтобы добраться до расширений:
Как удалить кейлоггер
Комплексный анти-кейлоггер должен проверять все процессы, запущенные на вашем компьютере: BIOS, операционную систему, фоновые службы. А также сетевые настройки, плагины и настройки браузера.
Чтобы избавиться от кейлоггера, возможно, придется переустановить операционную систему.
Многие клавиатурные шпионы являются руткитами. Поэтому также может потребоваться специализированная утилита против данного типа вирусов. Ниже приводится список программ, которые помогают удалить кейлоггеры.
SpyShelter
Утилита имеет несколько уровней противодействия клавиатурным шпионам. После инсталляции данная программа будет работать постоянно. Таким образом, она сможет блокировать установку кейлоггеров на ПК.
Вторая линия обороны SpyShelter заключается в проверке наличия подозрительных операций. При обнаружении вредоносной программы SpyShelter попытается удалить ее.
Для полной защиты компьютера SpyShelter будет шифровать все нажатия клавиш, чтобы сделать их считывание бессмысленным для клавиатурных шпионов.
Zemana
Zemana предоставляет целый пакет средств защиты от вредоносных программ. Но они хуже справляются с идентификацией кейлоггеров, по сравнению с предыдущей утилитой.
Zemana также включает в себя средство шифрования передаваемых данных, блокировщик рекламы и сканер вредоносных программ.
Данная утилита постоянно работает в фоновом режиме, отслеживая активность и сканируя загрузки на наличие вредоносного программного обеспечения.
Malwarebytes Anti-Rootkit
Приложение сканирует операционную систему на наличие целого ряда руткит-вирусов, а не только клавиатурных шпионов.
Norton Power Eraser
Norton Power Eraser проверяет компьютер более глубоко, чем обычные антивирусные программы. При обнаружении подозрительных программа утилита сразу удаляет их. Такой подход может привести к неожиданной потере нужных приложений. Поэтому при использовании Norton Power Eraser вам придется переустанавливать необходимое программное обеспечение.
Bitdefender Rootkit Remover
Bitdefender обнаруживает новые руткиты раньше своих конкурентов. Как только его сканеры обнаруживают новый вирус, он попадает в базу шпионских программ.
aswMBR Rootkit Scanner
GMER является альтернативой aswMBR.
Sophos Rootkit Removal
Эта программа выполняет сканирование операционной системы по требованию и удаляет любые руткиты, включая клавиатурные шпионы.
Kaspersky Security Scan
Бесплатная версия Kaspersky Security Scan сканирует компьютер на наличие вредоносных программ. Платные программные продукты от этого разработчика включают в себя модули защиты личных данных.
McAfee Rootkit Remover
Еще один бесплатный инструмент для удаления руткитов, разработанный одним из лидер ов отрасли. Утилита, работающая по требованию, просканирует систему и удалит все обнаруженные в ней вирусы.
Информация о кейлоггерах
Кейлоггеры были изобретены работодателями для отслеживания действий сотрудников на компьютерах компании. Затем они стали применяться хакерами. На сегодняшний день их используют и веб-маркетологи.
Кейлоггер Olympic Vision является примером именно хакерского программного обеспечения. Он был обнаружен в марте 2016 года.
Чтобы получить доступ к компьютерам жертв, кейлоггер распространялся как вложение к электронному письму. Атака была намеренно нацелена на представителей бизнеса.
В ноябре 2017 года информационная служба BBC сообщила о том, что более 480 коммерческих сайтов используют функцию кейлоггинга для мониторинга активности посетителей.
Это означает, что теперь нам необходимо защищаться и от того, чтобы законопослушные сайты не стали каналом для кражи той или иной личной информации.
Трудно избавиться от кейлоггеров, когда они уже попали на ваш компьютер. Поэтому необходимо проявлять максимальную осторожность при загрузке программ из интернета.
Также важно своевременно обновлять используемое программное обеспечение. Это особенно актуально для операционной системы и браузеров. Крупные разработчики постоянно ищут уязвимости в своих продуктах и закрывают их, чтобы устранить угрозы. Поэтому использование актуальных версий программ является основным способом защиты от всех видов вирусов.
Дайте знать, что вы думаете по этой теме материала в комментариях. За комментарии, подписки, отклики, дизлайки, лайки низкий вам поклон!
Что такое Кейлоггер?
Клавиатурный шпион относится к наиболее опасным вредоносным приложениям. Через него хакеры могут получить любую конфиденциальную информацию, в том числе платежные данные пользователя.
Определение кейлоггера
Кейлоггером является любой компонент программного обеспечения или оборудования, который умеет перехватывать и записывать все манипуляции с клавиатурой компьютера. Нередко кейлоггер находится между клавиатурой и операционной системой и перехватывает все действия пользователя. Этот инструмент либо хранит перехваченную информацию на зараженном компьютере, либо, если является частью более крупной атаки, все данные сразу передаются на удаленный компьютер организаторов атаки. Хотя термином «кейлоггер» обычно называют вредоносные программы, но порой его используют и правоохранительные органы.
Разновидности кейлоггеров
Хотя существует большое разнообразие вариантов кейлоггеров, но основное деление производится на программные и аппаратные. Чаще всего применяется программный кейлоггер, который является частью вредоносной программы, такой как троян или руткит. Как правило, это и более простой вариант получения доступа к интересующей системе без физического вмешательства. Один из самых распространенных типов программных кейлоггеров умеет разворачивать на целевой машине готовый API, записывающий каждое нажатие клавиш. Также применяются клавиатурные шпионы, реализованные на уровне системного ядра, шпионской надстройки «Атакующий-в-браузере» и других, более сложных конструкций.
Аппаратные кейлоггеры не так распространены, поскольку их сложнее реализовать на целевой машине. Такие клавиатурные шпионы необходимо устанавливать, имея непосредственный доступ к компьютеру, что повышает риск быть рассекреченным. Кстати, порой такие вещи устраивают на уровне производства, иногда даже встраивая в BIOS. Часто кейлоггеры могут быть встроены в USB-устройства: накопители или едва заметные вставки-переходники в шнуре клавиатуры. Хотя аппаратное шпионское оборудование сложнее установить, но оно более гибкое и менее зависимое от работы атакованной системы.
Метод заражения
Программные кейлоггеры часто устанавливаются в составе комплексного вредоносного программного обеспечения. Целевые компьютеры могут быть заражены во время скрытой загрузки при посещении зараженного сайта. Нередко клавиатурные шпионы могут быть различными способами и под различными предлогами встроены во вполне легальный софт. Аппаратные кейлоггеры устанавливает злоумышленник, имеющий физический доступ к интересующему компьютеру.
Обнаружение и удаление
Обнаружить вредоносные кейлоггеры весьма непросто, так как они ведут себя не всегда так, как многие другие вредоносные программы. Они не выискивают ценную информацию и не пересылают ее на удаленный сервер, они не пытаются уничтожить данные на зараженной машине. Клавиатурные шпионы делают свою работу тихо и незаметно. Антивирусные программы могут сканировать, обнаруживать и уничтожать все известные им варианты клавиатурных шпионов. Однако кейлоггеры, предназначенные для целевой атаки на конкретного пользователя, выявить непросто, так как чаще всего они не зарегистрированы в качестве известного вредоносного софта. Тем не менее рано или поздно, но они обнаруживаются, как только начинают проявлять себя путем несанкционированной отправки данных на удаленный сервер.
Если пользователь подозревает, что на его компьютере установлен клавиатурный шпион, то ряд приемов поможет защититься от вредителя. Например, загружать операционную систему с компакт-диска или USB-накопителя, а также пользоваться виртуальной экранной клавиатурой. Существуют и специализированные защитные инструменты, например, безопасный ввод реализован в Kaspersky Internet Security
Что такое клавиатурный шпион (кейлоггер)?
Кейлоггер может быть аппаратным или программным и использоваться как легитимный индивидуальный или профессиональный инструмент для IT-мониторинга. Тем не менее, перехват нажатия клавиш может применяться и в преступных целях.
Почему кейлоггер является угрозой
Если вы не знаете о том, что все, что вы набираете на клавиатуре вашего компьютера, записывается, вы можете непреднамеренно раскрыть свои пароли, номера кредитных карт, сообщения, номера финансовых счетов и другую конфиденциальную информацию третьим лицам.
Преступники могут использовать эту информацию для получения доступа к вашим учетным записям еще до того, как вы узнаете, что ваши конфиденциальные данные были похищены.
Кейлоггер может находиться в операционной системе компьютера, на уровне программного интерфейса клавиатуры, в памяти или входить в состав ядра операционной системы. Клавиатурного шпиона трудно обнаружить, поскольку он не всегда вызывает ощутимые проблемы с компьютером, такие как замедление процессов или сбои в работе. Его непросто обнаружить даже некоторым антивирусными программам, потому что шпионское ПО хорошо прячется: оно часто появляется в виде обычных файлов или трафика, а также может переустановить себя.
К счастью, от кейлоггеров можно защититься. Постоянное обновление вашей операционной системы, программных продуктов и веб-браузеров с использованием новейших патчей безопасности должно быть частью вашего защитного решения.
Но лучшей защитой является установка хорошего антишпионского продукта, который защищает от клавиатурных шпионов, или полноценного защитного решения с функциями предотвращения использования кейлоггеров на компьютере.
10 лучших бесплатных кейлоггеров для ПК
Кейлоггер (англ. Keylogger) – разновидность ПО, которое применяется для отслеживания или логирования всех нажатий клавиш на клавиатуре. Пользователь электронного устройства может даже не подозревать, что любые клики и нажатия записываются, а кейлоггер-то запоминает абсолютно все – вплоть до переписок в соцсетях и чатах. Присутствие такой программы практически невозможно заметить, поскольку она функционирует в фоновом режиме, как составной элемент операционной системы.
Также рекомендуем:
Кейлоггер. Насколько это законно?
У многих подобные программы ассоциируются с незаконной деятельностью и вредоносным ПО. Но, как мы уже писали, несмотря на то, что кейлоггеры можно рассматривать как вторжение в частное пространство, все же это никоим образом не нарушает закон. Родители, к примеру, могут обзавестись таким ПО, чтобы защитить своих детей в интернете, – и выяснить, с кем они общаются в Facebook или Whatsapp. Приложение отслеживает данные на ПК, Mac, iPhone и других устройствах.
Работодатель, в свою очередь, может сделать вывод о том, чем занимаются его сотрудники во время работы. Система выдает детальные онлайн-отчеты о продуктивности персонала.
Еще одно возможное применение кейлоггера – для защиты настроек приватности, паролей и данных, которые могут утеряться, из-за багов в компьютере. Но, с другой стороны, злоумышленник с помощью кейлоггера может получить доступ к частной и конфиденциальной информации, что, конечно же, запрещено законом.
Возможности кейлоггеров, разработанных под Windows и macOS:
Существует множество разновидностей и версий подобных систем, поэтому выбирая кейлоггер, составьте список функций, которые не должны присутствовать в вашей программе. Так вы исключите все лишние варианты.
1. Kickidler | бесплатно/$9 | Win | Mac | Lin
Kickidler — система учета рабочего времени и контроля сотрудников за ПК.
В Kickidler функция кейлоггера интегрирована с записью видео, то есть можно посмотреть историю того, что было на экране пользователя, когда он набирал определенную комбинацию клавиш. Это дает наиболее полную информацию о действиях сотрудника. Также есть фильтр по ключевым словам и выгрузка истории нажатия клавиш в эксель.
Система собирает информацию обо всех нажатиях клавиш во всех программах:
Нажатые клавиши отображаются в режиме реального времени, или в виде отчета. Есть отчет об интенсивности нажатия клавиш, из чего можно узнать, например, печатал ли сотрудник или изредка нажимал на пробел.
Собранную информацию (текст, видео и все нарушения рабочего распорядка) можно просмотреть на единой временной шкале – что абсолютно точно позволит выяснить, чем занимался сотрудник в конкретный момент времени.
Для чего нужен кейлоггер:
Дополнительный функционал: контроль нарушений, запись видео, онлайн-мониторинг, учет эффективности использования рабочего времени.
Kickidler работает на компьютерах с любой операционной системой: Windows, Linux и Mac OS. Есть бесплатная версия программы – до 6 сотрудников.
Какие еще функции есть в Kickidler?
2. Best Free Keylogger | бесплатно/$39 | Win
Best Free Keylogger – это мониторинговый инструмент для ПК, который совершенно незаметен во время работы. Это ПО отслеживает нажатия клавиш, чаты, активность в сети, URL, копируемые тексты, файлы и скриншоты. Одно из лучших решений для наблюдения за детьми, когда родителей нет дома.
3. Windows Keylogger | Бесплатно/USD49 | Win
Windows Keylogger присутствует на компьютерах тысяч пользователей по всему миру.
4. Spyrix Keylogger Free | Бесплатно | Win, Mac & Android
Spyrix Keylogger – бесплатное ПО для логирования клавиш, которое позволяет записывать и отслеживать каждое нажатие, инструмент способен сохранять скриншоты активных программ в установленные временные интервалы – то есть фиксируется все происходящее на экране.
5. Kidlogger Free | Бесплатно | Win, Mac, Android & iOS
Функция родительского контроля позволяет защитить детей в киберпространстве. Вы можете узнать, с кем беседуют ваши дети по телефону или в сети, а руководитель компании с помощью такого ПО отслеживает активность сотрудников и тем самым дисциплинирует их. Это как личный автоматизированный дневник.
6. Revealer Keylogger Free | Бесплатно | Win
Revealer Keylogger Free – эффективный кейлоггер под Windows. Программа активируется при запуске операционной системы, она скрыта от глаз пользователей и защищена паролем. Но основной инструментарий – скриншоты и уведомления на почту – в бесплатной версии недоступен. Также программа не фиксирует IP-адреса.
7. Refog Free Keylogger | Бесплатно | Win
Основное преимущество Refog Free Keylogger перед конкурентами в том, что это очень простая и удобная в использовании программа. У большинства шпионских разработок слишком много функций, и технически не подкованным людям сложно в них разобраться. Но эту программу очень легко настроить, к тому же она бесплатная. Список всего того, что перехватывается логируется и записывается, настолько большой, что нет смысла все это перечислять.
Вот лишь некоторые из функций:
Ardamax Keylogger – небольшой, простой в использовании кейлоггер, который фиксирует любую активность пользователей и сохраняет данные в лог-файле. Лог-файл можно просмотреть в формате текстового документа или веб-страницы. Этот инструмент будете сообщать о любой активности на ПК в ваше отсутствие.
Actual Keylogger – программа, которая отслеживает активность на компьютере и позволяет узнать, что другие пользователи делают в ваше отсутствие. Это ПО мониторит открытые или закрытые программы, посещаемые веб-сайты и все нажатия клавиш, делает скриншоты и копирует контент в буфер.
10. Iwantsoft Free Keylogger | Win
Iwantsoft Free Keylogger целенаправленно отслеживает любую активность на компьютере: фиксируются нажатия клавиш, контент в буфере системы, логируется активность в программах, отслеживается история сайтов в браузерах, есть функция скриншотов – чтобы сделать вывод о продуктивности сотрудников. Программа подходит для использования как на работе, так и дома. Родители с ее помощью могут узнать о потенциальных угрозах для своих детей, а для работодателей это возможность обезопасить себя от информационных утечек.
Почему стоит установить программу-кейлоггер?
Компьютеры используются для развлечения, образования и коммуникации, но в руках злоумышленников они превращаются в опасный инструмент. Например, люди с недобрыми намерениями могут общаться с детьми в интернете.
В свою очередь, сотрудники компаний могут копировать секретную информацию, торговые секреты, ноу-хау, или же просто бездействовать в то время, когда от них ожидают напряженной работы. Кейлоггер своевременно сообщит обо всех этих событиях. В частности, такие программы очень удобны для отслеживания работы фрилансеров.
Кейлоггер с сюрпризом: анализ клавиатурного шпиона и деанон его разработчика
В последние годы мобильные трояны активно вытесняют трояны для персональных компьютеров, поэтому появление новых вредоносных программ под старые добрые «тачки» и их активное использование киберпреступниками, хотя и неприятное, но все-таки событие. Недавно центр круглосуточного реагирования на инциденты информационной безопасности CERT Group-IB зафиксировал необычную фишинговую рассылку, за которой скрывалась новая вредоносная программа для ПК, сочетающая в себе функции Keylogger и PasswordStealer. Внимание аналитиков привлекло то, каким образом шпионская программа попадала на машину пользователя — с помощью популярного голосового мессенджера. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB рассказал, как работает вредоносная программа, чем она опасна, и даже нашел ее создателя — в далеком Ираке.
Итак, пойдем по порядку. Под видом вложения в таком вот письме содержалась картинка, при клике на которую пользователь попадал на сайт cdn.discordapp.com, и оттуда загружался вредоносный файл.
Использование Discord, бесплатного голосового и текстового мессенджера, достаточно нестандартно. Обычно для этих целей используются другие мессенджеры или социальные сети.
В процессе более детального анализа было установлено семейство ВПО. Им оказался новичок на рынке вредоносных программ — 404 Keylogger.
Первое объявление о продаже кейлоггера было размещено на hackforums пользователем под ником «404 Coder» 8 августа.
Домен магазина был зарегистрирован совсем недавно — 7 сентября 2019 года.
Как уверяют разработчики на сайте 404projects[.]xyz, 404 — это инструмент, созданный, чтобы помочь компаниям узнавать о действиях своих клиентов (с их разрешения) или он нужен тем, кто желает защитить свой бинарный файл от реверс-инжиниринга. Забегая вперед, скажем, что с последней задачей 404 точно не справляется.
Мы решили разреверсить один из файлов и проверить, что из себя представляет «BEST SMART KEYLOGGER».
Экосистема ВПО
Загрузчик 1 (AtillaCrypter)
Исходный файл защищен при помощи EaxObfuscator и осуществляет двухэтапную загрузку AtProtect из секции ресурсов. В ходе анализа других сэмплов, найденных на VirusTotal, стало понятно, что эта стадия не предусматривалась самим разработчиком, а была добавлена его клиентом. В дальнейшем было установлено, что этим загрузчиком является AtillaCrypter.
Загрузчик 2 (AtProtect)
По факту этот загрузчик является неотъемлемой частью ВПО и, по замыслу разработчика, должен брать на себя функционал по противодействию анализу.
Однако на практике механизмы защиты крайне примитивны, и наши системы успешно детектят это ВПО.
Загрузка основного модуля осуществляется при помощи Franchy ShellCode различных версий. Однако мы не исключаем, что могли использоваться и другие варианты, например, RunPE.
Конфигурационный файл
Закрепление в системе
Закрепление в системе обеспечивается загрузчиком AtProtect, если установлен соответствующий флаг.
Взаимодействие с C&C
Загрузчик AtProtect
При наличии соответствующего флага ВПО может запустить скрытый процесс iexplorer и перейти по указанной ссылке, чтобы уведомить сервер об успешном заражении.
DataStealer
Вне зависимости от используемого метода сетевое взаимодействие начинается с получения внешнего IP жертвы с помощью ресурса [http]://checkip[.]dyndns[.]org/.
Далее следует информация о системе:
_______ + VICTIM INFO + _______
И, наконец, — передаваемые данные.
Интересно, что для доставки писем клиенту 404 Keylogger используется SMTP-сервер разработчиков.
Это позволило выявить некоторых клиентов, а также почту одного из разработчиков.
При использовании этого метода собираемая информация сохраняется в файл и сразу же оттуда читается.
Логика этого действия не совсем понятна, однако это создает дополнительный артефакт для написания поведенческих правил.
Pastebin
На момент анализа этот метод применяется только для передачи украденных паролей. Причем он используется не как альтернатива первым двум, а параллельно. Условием является значение константы, равное «Vavaa». Предположительно, это имя клиента.
Взаимодействие происходит по https-протоколу через API pastebin. Значение api_paste_private равно PASTE_UNLISTED, что запрещает поиск таких страниц в pastebin.
Алгоритмы шифрования
Извлечение файла из ресурсов
Полезная нагрузка хранится в ресурсах загрузчика AtProtect в виде Bitmap-картинок. Извлечение осуществляется в несколько стадий:
Вредоносный функционал
Downloader
Реализуется в загрузчике AtProtect.
Условно они делятся на два типа:
Keylogger
Период отправки лога: 30 минут.
Поддерживаются все символы. Спецсимволы экранируются. Есть обработка клавиш BackSpace и Delete. Учитывается регистр.
ClipboardLogger
Период отправки лога: 30 минут.
Период опроса буфера: 0,1 секунды.
Реализовано экранирование ссылок.
ScreenLogger
Период отправки лога: 60 минут.
Скриншоты сохраняются в %HOMEDRIVE%%HOMEPATH%\\Documents\\404k\\404pic.png.
После отправки папка 404k удаляется.
PasswordStealer
| Браузеры | Почтовые клиенты | FTP-клиенты |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| IceDragon | ||
| PaleMoon | ||
| Cyberfox | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360Browser | ||
| ComodoDragon | ||
| 360Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Chromium | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Orbitum | ||
| CocCoc | ||
| Torch | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Противодействие динамическому анализу
Неактивные возможности
В ходе анализа загрузчика и основного модуля были найдены функции, отвечающие за дополнительный функционал, однако они нигде не используются. Вероятно, это связано с тем, что ВПО все еще в разработке, и вскоре функциональность будет расширена.
Загрузчик AtProtect
Была найдена функция, отвечающая за подгрузку и инжект в процесс msiexec.exe произвольного модуля.
DataStealer
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| anubis | Findviru | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Rav7 | norton |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| keyscrambler | F-Stopw | Rescue | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Scan32 | ccsetmgr |
| Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
| Outpost | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload95 | Scrscan | avcenter |
| ANTIVIR | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | Smc | avguard |
| ATRACK | Icsupp95 | SMCSERVICE | avnotify |
| Autodown | Icsuppnt | Snort | avscan |
| Avconsol | Iface | Sphinx | guardgui |
| Ave32 | Iomon98 | Sweep95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown2000 | Tbscan | clamscan |
| Avnt | Lookout | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | MCAFEE | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | Mpftray | Vet95 | sigtool |
| Avpm | N32scanw | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Wclose |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | Zonealarm | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | Nisum | RESCUE32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | sched |
| Claw95 | NORTON | avgcc | preupd |
| Claw95cf | Nupgrade | avgamsvr | MsMpEng |
| Cleaner | Nvc95 | avgupsvc | MSASCui |
| Cleaner3 | Outpost | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
ВПО получает список съемных носителей. В корне файловой системы носителя создается копия ВПО с именем Sys.exe. Автозапуск реализован при помощи файла autorun.inf.
Профиль злоумышленника
В ходе анализа командного центра удалось установить почту и ник разработчика — Razer, он же Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Далее было найдено любопытное видео на YouTube, где демонстрируется работа с билдером.
Это позволило найти оригинальный канал разработчика.
Стало ясно, что опыт в написании крипторов у него имеется. Там же есть ссылки на страницы в социальных сетях, а также настоящее имя автора. Им оказался житель Ирака.
Вот так, предположительно, выглядит разработчик 404 Keylogger. Фото из его личного профиля в Facebook.
CERT Group-IB оповестил о новой угрозе — 404 Keylogger — круглосуточный центр мониторинга и реагирования на киберугрозы (SOC) в Бахрейне.