Trao đổi với tôi

http://www.buidao.com

7/14/09

[Virus] Keylogger toàn tập & Sample code

Link gốc: http://utehy.vn/forum/showthread.php?t=3918

Định nghĩa.

Keylogger hay “trình theo dõi thao tác bàn phím” - theo cách dịch ra tiếng Việt là một chương trình máy tính ban đầu được viết nhằm mục đích theo dõi và ghi lại mọi thao tác thực hiện trên bàn phím vào một tập tin nhật ký (log) để cho người cài đặt nó sử dụng. Vì chức năng mang tính vi phạm vào riêng tư của người khác này nên các trình keylogger được xếp vào nhóm các phần mềm gián điệp.

Về sau, khi keylogger phát triển cao hơn nó không những ghi lại thao tác bàn phím mà còn ghi lại cả các hình ảnh hiển thị trên màn hình (screen) bằng cách chụp (screen-shot) hoặc quay phim (screen-capture) thậm chí còn ghi nhận cách con trỏ chuột trên máy tính di chuyển.

Phân loại keylogger
Keylogger bao gồm hai loại, một loại keylogger phần cứng và một loại là phần mềm. Bài viết này nói đến loại phần mềm.
Theo những người lập trình, keylogger viết ra với chỉ có một loại duy nhất là giúp các bạn giám sát con cái, người thân xem họ làm gì với PC, với internet, khi chat với người lạ. Nhưng cách sử dụng và chức năng của keylogger hiện tại trên thế giới khiến người ta thường hay phân loại keylogger theo mức độ nguy hiểm bằng các câu hỏi:
Nhiễm vào máy không qua cài đặt/Cài đặt vào máy cực nhanh (quick install)?

Có thuộc tính ẩn/giấu trên trình quản lí tiến trình (process manager) và trình cài đặt và dỡ bỏ chương trình (Add or Remove Program)?

Theo dõi không thông báo/PC bị nhiễm khó tự phát hiện?
Có thêm chức năng Capturescreen hoặc ghi lại thao tác chuột?
Khó tháo gỡ?

Có khả năng lây nhiễm, chống tắt (kill process)?

Cứ mỗi câu trả lời “có”, cho một điểm. Điểm càng cao, keylogger càng vượt khỏi mục đích giám sát (monitoring) đến với mục đích do thám (spying) và tính nguy hiểm nó càng cao.

Keylogger có thể được phân loại theo số điểm:
Loại số 1
Không điểm: keylogger loại bình thường; chạy công khai, có thông báo cho người bị theo dõi, đúng với mục đích giám sát.

Loại số 2
Một đến hai điểm: keylogger nguy hiểm; chạy ngầm, hướng đến mục đích do thám nhiều hơn là giám sát (nguy hại đến các thông tin cá nhân như là tài khoản cá nhân, mật khẩu, thẻ tín dụng vì người dùng không biết).

Loại số 3
Ba đến năm điểm: keylogger loại rất nguy hiểm; ẩn dấu hoàn toàn theo dõi trên một phạm vi rộng, mục đích do thám rõ ràng.

Loại số 4
Sáu điểm: keylogger nguy hiểm nghiêm trọng, thường được mang theo bởi các trojan-virus cực kỳ khó tháo gỡ, là loại keylogger nguy hiểm nhất. Chính vì vậy (và cũng do đồng thời là “đồng bọn” của trojan-virus) nó thường hay bị các chương trình chống virus tìm thấy và tiêu diệt.
Thông thường, một chương trình keylogger sẽ gồm có ba phần chính:

Chương trình điều khiển (Control Program):
Dùng để theo điều phối hoạt động, tinh chỉnh các thiết lập, xem các tập tin nhật ký cho Keylogger. Phần này là phần được giấu kỹ nhất của keylogger, thông thường chỉ có thể gọi ra bằng một tổ hợp phím tắt đặt biệt. Tập tin hook, hoặc là một chương trình monitor dùng để ghi nhận lại các thao tác bàn phím, capture screen (đây là phần quan trọng nhất) Tập tin nhật ký (log), nơi chứa đựng/ghi lại toàn bộ những gì hook ghi nhận được. Ngoài ra, tùy theo loại có thể có thêm phần chương trình bảo vệ (guard, protect), chương trình thông báo (report)…
Cách thức cài đặt vào máy

Các loại keylogger từ 1 - 3 thông thường khi cài đặt vào máy cũng giống như mọi chương trình máy tính khác, đều phải qua bước cài đặt. Đầu tiên nó sẽ cài đặt các tập tin dùng để hoạt động vào một thư mục đặc biệt (rất phức tạp), sau đó đăng ký cách thức hoạt động rồi đợi người dùng thiết lập thêm các ứng dụng. Sau đó nó bắt đầu hoạt động.Loại keylogger số 4 có thể vào thẳng máy của người dùng bỏ qua bước cài đặt, dùng tính năng autorun để cùng chạy với hệ thống. Một số loại tự thả (drop) mình vào các chương trình khác, để khi người dùng sử dụng các chương trình này keylogger sẽ tự động chạy theo.

Cách hoạt động
Trong một hệ thống (Windows, Linux, Mac…), khi bấm 1 phím trên bàn phím, bàn phím sẽ chuyển nó thành tính hiệu chuyển vào CPU. CPU sẽ chuyển nó tới hệ điều hành để hệ điều hành dịch thành chữ hoặc số cho chính nó hoặc các chương trình khác sử dụng.Nhưng khi trong hệ thống đó có keylogger, không những chỉ có hệ điều hành theo dõi mà cả hook file/monitor program của keylogger theo dõi nó sẽ ghi nhận và dịch lại các tính hiệu ghi vào tập tin nhật ký. Đồng thời nó còn có thể theo dõi cả màn hình và thao tác chuột.

Tham khảo từ Wikipedia
Keylogger tốt hay xấu?
Không phải chỉ có vấn đề "keylogger", có rất nhiều vấn đề mà người ta luôn tự hỏi hoặc tranh cải, là tốt hay là xấu. Nhưng, nhiều khi họ quên rằng tốt hay xấu luôn luôn là do ở con người. Keylogger chỉ là một chương trình công cụ, và nó tốt hay xấu tùy theo mục đích sử dụng. Nếu dùng để giám sát con cái, người thân xem họ làm gì với PC, với internet, khi chat với người lạ thì keylogger là tốt. Nhưng cách sử dụng keylogger nhằm đánh cắp các thông tin cá nhân (tài khoản cá nhân, mật khẩu, thẻ tín dụng) thì keylogger là một chương trình rất xấu.
Hãy học hỏi để cống hiến.

Phòng - Tránh - Chống Keylogger.
Phòng
Keylogger thường bị vào máy qua hai con đường chính: được cài đặt hoặc bị cài đặt.
Phòng ngừa “được cài đặt”
Phương pháp sau chỉ có tác dụng với chủ máy (người nắm quyền root/administrator) Cách tốt nhất là không cho ai sử dụng chung máy tính. Bảo mật máy bằng cách khóa lại bằng các chương trình bảo vệ, hoặc mật khẩu khi đi đâu đó. Nếu phải dùng chung nên thiết lập quyền của người dùng chung đó thật thấp (guest đối với Windows XP, user đối với Linux) để kiểm soát việc cài đặt chương trình của họ.

Phòng ngừa “bị cài đặt”
Bị cài đặt là cách để nói đến các trường hợp keylogger vào máy không do người nào đó trực tiếp đưa vào trên máy đó mà do trojan, virus, spyware cài đặt vào máy nạn nhân mà nạn nhân không hề hay biết. Các biện pháp phòng ngừa:
Không tùy tiện mở các tập tin lạ, không rõ nguồn gốc ( đặc biệt chú ý các tập tin có đuôi *.exe, *.com, *.bat, *.scr, *.swf, *.zip, *.rar, *.js, *.gif…). Tốt nhất là nên xóa đi, hoặc kiểm tra (scan) bằng một chương trình antivirus và một chương trình antispyware, vì nhiều chương trình antivirus chỉ có thể tìm thấy virus, không thể nhận biết spyware.
Không vào các trang web lạ, đặc biệt là web “tươi mát” vì có thể các trang web này ẩn chứa một loại worm, virus, hoặc là mã độc nào đó có thể âm thầm cài đặt.

Không click vào các đường link lạ do ai đó cho bạn.
Không cài đặt các chương trình lạ (vì nó có thể chứa virus, trojan)
Không download chương trình từ các nguồn không tin cậy. Nếu bạn có thể, xem xét chữ ký điện tử, để chắc chắn chương trình không bị sửa đổi.

Hạn chế download và sử dụng cracked-program.
Luôn luôn tự bảo vệ mình bằng các chương chình chuyên dùng chống virus, chống spyware (antivirus, antispyware) và dựng tường lửa (firewall) khi ở trong Internet.
Thường xuyên cập nhật đầy đủ các bản cập nhật bảo mật của hệ điều hành.
Tránh keylogger
Khi nghi ngờ nó có keylogger mà không có điều kiện kiểm tra.

Diệt tập tin hook, chương trình theo dõi
Sử dụng một chương trình task manager (có thể gọi ra bằng tổ hợp phím tắt Ctrl+Alt+Del trên Windows) xem các chương trình đang chạy. Nếu bạn thấy process nào lạ (đặc biệt đối với Windows XP là các tập tin được chạy dưới User name không phải là System) chưa thấy bao giờ hãy tắt (end, kill) nó đi. Lưu ý, cách này có thể làm treo hệ thống nếu đó là một tập tin cần cho nó; vì vậy người dùng cần có kinh nghiệm.

Che mắt keylogger
Keylogger hoạt động trên nguyên tắc theo dõi bàn phím (monitoring keyboard) chỉ có rất ít có khả năng theo dõi chuột (dù có theo dõi được cũng không chính xác lắm) và không có khả năng capture clipboard. Vì vậy dù hệ thống có keylogger (trừ các keylogger có khả năng quay phim) có thể được vượt qua bằng cách:
Sử dụng On-Screen Keyboard (trong windows gọi ra bằng Start/Run/osk) để nhập cách dữ liệu nhạy cảm (mật khẩu, thẻ tín dụng) bằng cách click chuột. Vì đây là cách nhập liệu nằm ngoài vùng theo dõi của các tập tin hook (vì không qua bàn phím) nên keylogger sẽ không ghi nhận đuợc thông tin gì. Cách này dễ dùng nhưng người khác có thể trông thấy thông tin được nhập vào ( tiếng lóng thường dúng là đá pass) từ đó bạn mất password.

Sử dụng Copy’n’Paste (chép và dán): tìm một đoạn văn bản nào đó có các từ nằm trong đoạn thông tin muốn dấu (ví dụ: mật khẩu là password bạn hãy tìm một đoạn văn có các từ p, a, s, w, o, r, d ( ví dụ to day Is a hot day, peter feel bad he want a cool drink or a ice-cream) copy từng chữ một và dán nó thành chữ password rồi gửi đi. Cách này có ưu điểm là dễ dùng nhưng khá rắc rối. Sử dụng type’n’Click (bấm và nhấn): vì bản thân một keylogger thông thường không thể theo dõi các bấm chuột. Ví dụ muốn đánh một đoạn thông tin là password, đầu tiên hãy đánh một số từ có trong nó: psr rồi sử dụng chuột (không dùng bàn phím) chen ngang vào p và s đánh chữ a giữa s và r đánh chữ swo sau r là chữ d. Dòng thông tin nhập vào password nhưng trong tập tin nhật ký log keylogger ghi lại được là psraswod. Cách này khá hay nhưng không phù hợp với các thông tin dài vì dễ gây quên.

Chống keylogger
Phương pháp đơn giản
Nhanh hiệu quả nhất là diệt trừ toàn bộ các chương trình đang theo dõi bàn phím đi. Một số chương trình như là Keylogger Killer của Totto quét các process tìm các chương trình theo dõi cùng lúc quá nhiều ứng dụng (keylogger dùng cách này thường bằng một tập tin *.dll) rồi đề nghị bạn tắt nó đi. Thế nhưng một số chương trình tốt (như các chương trình giúp gõ bàn phím Unikey, Vietkey) cũng dùng cách này nên có thể gây diệt lầm.

Phương pháp nâng cao

Sử dụng một chương trình chống spyware chuyên dùng. Các chương trình này sẽ tự động quét, phân tích các chương trình đang chạy cũng như trên máy để từ đó nhận biết các chương trình keylogger và tự động diệt. Một số chương trình còn có chế độ bảo vệ thời gian thực (Real-Time Protection) giúp bảo vệ bạn chống ngay khi spyware chuẩn bị cài vào máy.Nhưng điểm gây khó khăn nhất của cách dùng này là đa số các chương trình sử dụng tốt đều phải trả tiền (ví dụ như Spyware Doctor của Pctools, McAfee Antispyware của McAfee, Bitdefender…). Tuy thế vẫn có một số chương trình miễn phí và khá tốt như Ad-Aware SE, Spybot S&D, Spyblaster tuy rằng nó lâu lâu vẫn bắt hụt một số chương trình đặc biệt, nhưng nếu dùng kết hợp (cùng lúc cả hai hoặc cả ba) thi hiệu quả hầu như là hoàn toàn.

Hardware Keylogger.
Sơ lược
Tất nhiên mục đích sử dụng một Hardware keylogger cũng không nằm ngoài việc ghi nhận lại hoạt động của bàn phím. Chúng được gắn vào giữa bàn phím và máy tính, giống như một thiết bị trung gian. Nếu các bạn đã từng sử dụng thiết bị chuyển đổi cổng USB sang cổng PS/2 hoặc ngược lại thì các bạn hoàn toàn có thể hình dung ra một Hardware keylogger là như thế nào.

Hardware keyloggers "ưu việt" hơn software keylogger ở chổ những thao tác gõ phím khi máy tính chưa chưa khởi động Hệ điều hành (operating system) cũng sẽ bị ghi lại, ví dụ như password BIOS chẳng hạn. Và nếu bạn chẳng bao giờ kiểm tra xem phía sau thùng máy có gắn những gì thì bạn cũng không bao giờ biết rằng mình bị theo dõi.
Hardware keylogger hoạt động như thế nào?

Tất cả Hardware keylogger đều phải có 2 thứ sau:
1.Một bộ vi điều khiển - phiên dịch dòng dữ liệu giữa bàn phím và máy tính, xử lý nó, và lưu vào "non-volatile memory".
2.Một thiết bị "non-volatile memory", giống như một thẻ nhớ flash, lưu trữ dữ liệu ngay cả khi không có nguồn điện.
Người cài nó vào máy tính, có thể tháo rời và dễ dàng đọc dữ liệu ghi trong bộ nhớ. Về điểm này thì thì một Hardware Keylogger có vẽ giống như một loại chip "nghe trộm" keyboard.
Một số loại Hardware keylogger thế hệ mới còn có khả năng gửi dữ liệu qua Internet về cho chủ nhân của nó.
8 Trình Keylogger Loại số 1+2 phổ biến nhất
Các keylogger Loại số 1+2 là những keylogger có cách thể hiện mình khá “quang minh chính đại”. Đa số đều có những đặc điểm chung như: thể hiện tên của mình trong “Program Files”, đặt biểu tượng hoạt động của mình ở khay đồng hồ, có thể dễ dàng phát hiện sự hoạt động của nó trong thẻ “Applications” của “Windows Task Manager”, không được trang bị chế độ hoạt động ngầm, có thể dễ dàng gỡ bỏ... Sau đây là tám chương trình keylogger thuộc hàng “chính đạo” phổ biến hiện nay.

1. 1-ACT Computer Spy 2006: thư mục cài đặt mặc định mang tên Only PCTools All-in-One\1-ACT Computer Spy 2006; file thực thi có tên AdvKeylog.exe; xuất các thông tin ghi nhận hoạt động bàn phím dưới dạng file XML và chứa các file này trong “User” nằm trong thư mục cài đặt.

Các file XML này có phần tên như: FilesLog (chứa mọi thông tin về việc tác động đến file); KeysLog (chứa mọi thông tin khi tác động lên bàn phím); MailsLog (chứa mọi thông tin khi sử dụng e-mail”; PrintersLog (chứa thông tin liên quan đến việc sử dụng máy in); URLslog (chứa thông tin liên quan đến việc lướt web).

2. Activity Keylogger: có thư mục cài đặt mặc định mang tên Activity Keylogger; file thực thi có tên actik.exe; lưu lại các thông tin ghi nhận từ bàn phím dưới dạng file HTM (chats.htm, clipboard.htm, keystrokes.htm, screenshots.htm, websites.htm) và chụp ảnh màn hình dưới dạng JPG; các thông tin ghi nhận được đều được đặt trong “Log” nằm trong thư mục cài đặt.

3. Stealth Keylogger: cài đặt trong thư mục có tên MSK; file thực thi có tên msk.exe; tạo ra file chứa thông tin bàn phím dưới dạng HTM được đặt trong một thư mục “sâu thẳm” là C:\Documents and Settings\User\Local Settings\Temp; sử dụng tổ hợp phím nóng mặc định là Ctrl+Alt+Shift+M.

4. A+ Stealth Keylogger: ứng dụng keylogger này ẩn mình vô cùng kỹ càng trong thư mục C:\Documents and Settings\All Users\Application Data\SystemKey; file thực thi có tên SystemKey.exe; sử dụng tổ hợp phím nóng mặc định là Ctrl+Shift+Alt+S để ẩn hiện; chụp ảnh màn hình dưới dạng file JPG, ghi nhận hoạt động bàn phím dưới dạng file XMM “lạ hoắc” và dấu tất cả trong thư mục mặc định là “Logs” nằm trong thư mục cài đặt của nó.

Keylogger này hơi “độc địa” ở chỗ nó tự động giấu mình quá kỹ mà không cần đến sự can thiệp của người cài đặt.

5. A-one Home Looker: tên thư mục cài đặt mặc định là A-one Home Looker; file thực thi mang tên VideoCap.exe; sử dụng tổ hợp phím nóng mặc định là Ctrl+Alt+S để ẩn hiện; có khả năng tự động gửi ảnh chụp màn hình đến một địa chỉ e-mail tự chọn; chụp ảnh màn hình dưới dạng file JPG, ghi nhận hoạt động bàn phím dưới dạng file TXT và giấu tất cả trong một thư mục mà người dùng tự chọn.

6. SpyAgent: tên thư mục cài đặt mặc định là Spytech Software\Spytech SpyAgent; tên file thực thi là sysdiag.exe; dùng tổ hợp phím nóng Ctrl+Shift+Alt+M để ẩn hiện; có khả năng gửi các thông tin ghi nhận đến một e-mail nào đó; ghi nhận hoạt động bàn phím dưới dạng file TXT và JPG trong thư mục cài đặt.

7. The PC Detective Pro: cài đặt thư mục có tên Common Files\The PC Detective Pro; file thực thi mang tên Viewer.exe; xuất các file ghi nhận hoạt động máy tính dưới dạng TXT, chụp ảnh màn hình dưới dạng JPG và chứa các file này trong thư mục mặc định là C:\Program Files\Common Files\Microsoft Shared\DAO\PCD; sử dụng tổ hợp phím nóng mặc định là Ctrl+Shift+F8 để ẩn hiện.

8. XP Keylogger: tên thư mục cài đặt mặc định là XP Keylogger; file thực thi mang tên services.exe; xuất các file ghi nhận hoạt động máy tính dưới dạng HTM và lưu trong “Logs” nằm trong thư mục cài đặt chương trình.

Ngoài các keylogger dạng thương mại này, trên thị trường cũng tồn tại một số phần mềm “chuyên dùng cho phụ huynh” để “quản lý trẻ em” hoặc “quản lý máy tính gia đình”... Nhưng về thực chất thì tất cả bọn chúng đều là những công cụ keylogger tinh vi, có thể bị kẻ xấu lợi dụng để moi móc thông tin cá nhân của những người dùng ngây thơ.

7 Keylogger Loại số 3 phổ biến nhất.

Các Keylogger Loại 3 là những keylogger có những đặc điểm sau: hiếm khi nào thể hiện tên của mình trong “Program Files”, không bao giờ đặt biểu tượng hoạt động của mình ở khay đồng hồ, không bao giờ để lại sự có mặt của mình trong thẻ “Applications” của “Windows Task Manager”, luôn luôn có khả năng vận hành ở chế độ hoạt động ngầm, rất khó gỡ bỏ nếu không nhập đúng password và tổ hợp phím nóng… Sau đây là 7 chương trình keylogger phổ biến hiện nay.

1. 007 Spy Software: Keylogger này chủ động dấu mình trong C:\Program Filess\Common Files\Microsoft Shared\DAO; File thực thi có tên svchost.exe; Sử dụng tổ hợp phím Ctrl+Alt+Shift+F7 để kích hoạt; Có khả năng âm thầm gửi đi các thông tin mà nó ghi nhận được đến một địa chỉ e-mail hoặc máy chủ FTP; Nó “ma mãnh” đến nỗi lưu các file TXT ghi nhận hoạt động bàn phím cùng như file JPG chụp ảnh màn hình trong một thư mục vô cùng “đặc biệt”, đó là C:\Recycled\WinLiveUpdate32\scrdata\, tức nó dấu dữ liệu trong… thùng rác của máy tính.

2. All-In-One Spy Keylogger: Có thư mục cài đặt mặc định là C:\Some_undistinguished_folder\AIOSKL; File thực thi mang tên ctfmon.exe; Tổ hợp phím nóng dùng để hiển thị mặc định là Ctrl+Alt+Shift+U; Chụp ảnh màn hình theo dạng JPG, xuất các thông tin ghi nhận hoạt động bàn phím ra dạng TXT và lưu trữ trong thư mục cài đặt.

3. Ardamax Keylogger: Cài đặt mặc định trong thư mục C:\Program Files\UIB; File thực thi mang tên UIB.exe; Các file chứa thông tin ăn cắp có tên UIB.001, UIB.002… cho đến UIB.999 và nằm chung trong thư mục cài đặt; có khả năng ẩn mình rất tốt và sử dụng tổ hợp phím Ctrl+Alt+Shift+H để hiển thị.

4. Eye Spy Pro: Cài đặt mặc định trong thư mục C:\Program Files\ESP Demo; File thực thi mang tên ESPDemo.exe; Sử dụng tổ hợp phím nóng mặc định Ctrl+Shift+F5; Lưu ảnh chụp màn hình theo dạng JPG hoặc BMP, lưu thông tin bàn phím dưới dạng file LOG và các fil này được lưu trong thư mục mang tên “Projects” nằm trong thư mục cài đặt; Có khả năng gửi thông tin bàn phím đến một địa chỉ e-mail hoặc một máy chủ FTP nào đó.

5. Real Spy Monitor: Cài đặt mặc định trong thư mục C:\Program Files\Real Spy Monitor; File thực thi mang tên winrsm.exe; Sử dụng phím nóng Ctrl+Alt+S; Chụp ảnh màn hình dưới dạng file JPG, ghi nhận hoạt động bàn phím dưới dạng file TXT và dấu tất cả trong thư mục mặc định là C:\Windows\RSM; Có khả năng bí mật gửi các thông tin ghi nhận được về một e-mail hay máy chủ FTP nào đó. Chương trình được thiết kế hết sức quy mô với giao diện ghi nhận hoạt động riêng dành cho từng kiểu ứng dụng vô cùng trực quan.

6. Total Spy: thư mục cài dặt mặc định là C:\Program Files\TS Trial; File thực thi mang tên ctfmon.exe; Tổ hợp phím nóng mặc định là Ctrl+Alt+Shift+U; Chụp ảnh màn hình theo dạng JPG và xuất các thông tin ghi nhận hoạt động bàn phím ra dạng TXT ; Lưu trữ các thông tin ghi nhận được trong các thư mục mang tên “daily_log_files” và "daily_visited_urls” nằm trong thư mục cài đặt.

7. XT Spy: Keylogger này rất ranh ma khi thông báo cho người cài đặt rằng nó sẽ cài chương trình vào thư mục C:\Program Files\XTS, nhưng thực ra nó lại âm thầm cài đặt nó vào thư mục “Xfigsys” nằm trên ổ đĩa C; File thực thi của nó là xfigsys.exe; Lưu trữ các file JPG chụp ảnh màn hình và TXT ghi nhận hoạt động bàn phím trong các thư mục con ở sâu trong thư mục “Xfigsyslg” cũng nằm trong thư mục cài đặt. Ban đầu có thể xếp Keylogger này vào dạng chính đạo vì nó thể hiện mình rõ ràng trong thẻ “Applications” của “Windows Task Manager” nhưng sau khi đăng nhập vào chương trình bằng password thì nó vô hiệu hóa ngay lập tức đường vào “Windows Task Manager” để mọi người không thể phát hiện ra nó.

5 Keylogger Loại số 4 phổ biến nhất.



Các Keylogger Loại số 4 được xem là bước phát triển cao của các keylogger. Ngoài việc có đầy đủ những đặc điểm như các keylogger Loại số 1+2+3, các keylogger Loại số 4 còn là các keylogger được trang bị thêm một chương trình mã độc, thường là một con Trojan nguy hiểm có khả năng gửi toàn bộ các thông tin do keylogger thu thập được về cho chủ nhân của nó. Sau đây là 5 chương trình keylogger phổ biến hiện nay.


1. Golden Eye: Cài đặt mặc định trong thư mục C:\Program Files\A8GsdsApp; File thực thi mang tên AGSeiApp.exe; Ghi nhận các thông tin bàn phím dưới dạng HTML, chụp ảnh màn hình dưới dạng JPG và chứa các thông tin ăn cắp được trong thư mục “Output” nằm trong thư mục cài đặt chương trình; Sử dụng tổ hợp phím nóng ALT+CTRL+SHIFT+P để ẩn mình hoặc kích hoạt. Trong thư mục cài đặt của keylogger này có một file tên kbhook.dll có chứa con trojan mang tên Generic.MRA có khả năng gửi thông tin ghi nhận được về đến các máy chủ bí mật. Đây là một trong những keylogger có các tính năng được thiết kế ở mức chi tiết nhất hiện nay.

2. Perfect Keylogger: Cài đặt mặc định trong thư mục C:\Program Files\BPK; File thực thi mang tên bpk.com; Có chứa một con trojan nguy hiểm mang tên PS.Banker.25.S nằm trong file mang tên Inst.bin. Khi cài đặt, keylogger này sẽ cố gắng đưa con trojan này vào thư mục “Temp”, nằm cực sâu trong thư mục “Documents and Settings”. Con trojan này chuyên ghi nhận các mật khẩu giao dịch tài chính điện tử trên mạng để gửi về cho chủ nhân của nó. Khi trojan PS.Banker.25.S bị các chương trình chống virus “bức tử” thì công cụ keylogger này cũng không còn hoạt động được nữa.

3. Spy Recon: Cài đặt trong thư mục mặc định là C:\Program Files\Spy Recon - Platinum; File thực thi mang tên svrsrn.exe; Chứa các file ghi nhận hoạt động của máy dưới dạng TXT trong thư mục “Logs” nằm trong thư mục cài đặt; Keylogger này có chứa một con trojan mang tên Trojan.Spy.Spyrecon.A ẩn mình trong file cbt.dll có khả năng gửi toàn bộ thông tin ăn cắp được đến đến một e-mail nào đó cũng như gửi thông tin trực tiếp cho chủ nhân của nó.

4. XPCSpy Pro: Cài đặt mặc định trong thư mục C:\Program Files\Xsoftware; File thực thi mang tên XPCSpyPro.exe; Chứa file chụp ảnh màn hình dưới dạng file XSM trong thư mục “Screenshots” nằm trong thư mục cài đặt. Dạng file XSM này thực chất là JPG nhưng đã được keylogger này cải trang thành XSM; Ghi nhận hoạt động bàn phím trong dạng file TXT và chứa trong thư mục tên “Report” cũng nằm luôn trong thư mục cài đặt. Keylogger này tung vào máy tính một con trojan mang tên Trojan.Spy.Delf.DU, ẩn mình trong file mang tên systemout.exe và nằm trong thư mục Windows\System32; Có khả năng gửi kết quả ghi nhận được đến một địa chỉ e-mail nào đó, đồng thời bí mật gửi 1 bản sao đến tác giả thiết kế nên con trojan.

5. Fingerprints: thư mục cài đặt mặc định là C:\Fingerprints; Ngay khi cài đặt là Fingerprints sẽ tung ngay một con trojan mang tên Trojan.Spy.Agent.JF nằm ẩn trong file keyhooi.dll vào thư mục Windows\system32; Keylogger này sẽ lưu file ghi nhận hoạt động bàn phím của nó dưới dạng file FLF trong thư mục cài đặt mà ta có thể xem bằng NotePad; Khi máy tính được nối mạng, trojan này cũng sẽ bí mật gửi các file FLF kết quả về cho chủ nhân của nó.


Bài viết này đã khá lâu của Trần Trí Hiền được đăng trên quantrimang.com. Vì tôi thấy hay nên đưa (post) lên đây cho mọi người tham khảo ( nếu ai chưa đọc)

Tiêu đề của bài là “Cẩn thận với password của email “

Hiện nay, nhu cầu sử dụng email tăng rất nhanh. Trong số các dịch vụ thư điện tử trên mạng, tiện dụng nhất vẫn chính là Yahoo! Mail.

Bạn có thể mất hộp thư yêu dấu của mình chỉ trong một phút lơ đễnh. Không phải chỉ ở dịch vụ truy nhập Internet công cộng mà sự nguy hiểm còn rình rập bạn bất cứ nơi đâu. Sau đây là một vài cách mà các bạn có thể mất password hộp thư của mình:

Cách 1: Sử dụng Key logger

Mức độ thành công: hầu như là 99 %

Nếu nhận hay gửi thư ở các điểm truy nhập Internet công cộng thì bạn rất có thể bị mất password mà thủ phạm là các key logger (chương trình ghi lén gõ phím). Key logger hiện nay rất hiện đại, không như các key logger “thời tiền sử”. Không cần cài đặt trên máy, có kích thước rất “khiêm tốn”, nhưng các key logger này lại là những kẻ lấy cắp password thiện nghệ, rồi gửi password lấy cắp tới một địa chỉ đã định trước (có key logger chỉ ghi lại password và user name dùng của yahoo messenger và gửi email đến chủ nhân của nó để cảnh báo). Do các key logger có thể rất dễ dàng tích hợp vào vào 1 tệp tin bất kì trên máy tính nên rất có thể khi bạn chạy 1 trò chơi hay 1 chương trình nào đó thì bạn đã bị nhiễm phải nó rồi.

Công cụ thực hiện

Một phần mềm key logger hay phần mềm gián điệp.

Cách phòng chống

Có thể sử dụng phần mềm phòng chống key logger hoặc sử dụng phần mềm Norton anti virus (nên cập nhật phiên bản mới nhất) để phát hiện trojan dạng key logger nằm trong 1 tệp tin nào đó. Bạn có thể dùng chương trình phát hiện key logger như: anti keylog, keylogg kill (bạn chỉ cần truy nhập vào http://www.google.com sau đó gõ vào tên của chương trình -> kích Search để tìm kiếm, hoặc vào http://download.com.com và gõ vào tên chương trình để tải về dùng.

Đơn giản nhất là khi mở trang đăng nhập bạn hãy khoan đăng nhập mà trước tiên hãy mở một chương trình soạn thảo bất kì (notepad chẳng hạn), gõ một chuỗi ký tự bất kì kí tự vào -> sau đó gõ tên người dùng & mật khẩu của mình vào -> tiếp tục gõ vào chuỗi kì tự bất kỳ -> sau đó sao chép user name & password của mình sang trang mail yahoo và dán user name và password vào. Khi dùng biện pháp này thì keylog chỉ ghi lại được đoạn văn bản có chứa cả các chuỗi ký tự ngẫu nhiên bạn đã gõ vào (dĩ nhiên là nó sẽ không biết đâu là password thật) và cú gõ phím CTRL + V vào trường user name và password trong trang đăng nhập Yahoo Mail.

Cách 2: Dùng trang login giả

Mức độ thành công: 45 %

Mở IE ra, bạn sẽ thấy trang chủ Yahoo Mail hiện ra và lúc này bạn chỉ biết gõ user name và password. Sau khi gõ xong bạn kích sign in nhưng vẫn không đăng nhập được. Bạn đâu có ngờ rằng trên thanh Address lúc này không phải là địa chỉ http://mail.yahoo.com (mặc dầu giao diện y hệt giao diện thật của Yahoo Mail). Thật sự đây chỉ là một đường dẫn đến một website giả.

Công cụ thực hiện

Ở chiêu này, kẻ ăn cắp password không sử dụng phần mềm, không đòi hỏi phải biết nhiều về lập trình web. Các tin tặc có thể sử dụng đoạn code send mail (có thể viết bằng PHP, ASP, CGI …) hoặc dùng các code form mail có sẵn để gửi password thu thập được qua e-mail. (ở đây xin được giấu phương pháp thực hiện vì mục tiêu của bài viết là hướng dẫn cách phòng chống).

Cách phòng chống

Không nên gõ user name và password từ một cửa sổ IE có sẵn, hoặc kiểm tra mail từ một đường link bất kì (không chỉ riêng yahoo mail).

Cách 3: Lấy password qua chương trình chat yahoo messenger

Mức độ thành công: 85 %

Yahoo Messenger là chương trình chat thú vị nhất và phổ biến nhất ở Việt Nam. Chỉ cần bạn ngồi chat với một tin tặc mạo danh là bạn đã có thể bị mất password. Bạn đừng nghĩ người ta sẽ hỏi tên người yêu hay số điện thoại, ngày sinh của bạn và căn cứ vào đó để đoán ra password. Họ chỉ cần gửi cho bạn 1 tệp tin game nho nhỏ hay một bức hình và bạn mở ra xem (ngay cả tôi cũng thế không riêng gì bạn) thì chắc chắn password của bạn sẽ bị gửi qua nick chat của họ vì tệp tin họ gửi cho bạn có chứa một con Trojan ẩn nấp bên trong mà bạn không hề biết.

Công cụ thực hiện

Một chương trình cỏn con làm điều này. Sau khi bạn bị cài bẫy, Yahoo ID và password của bạn sẽ được gửi cho nick đã cấu hình sẵn. Ví dụ: Nick_cua_ban: This ID Hacked by: aabbcc ===> USER=nick_cua_ban PASS=password_cua_ban

Cách phòng chống

- Không nhận tệp tin từ bất kì một người lạ nào. Nếu đã trót nhận tệp tin, bạn hãy dùng chương trình quét virus nó trước khi sử dụng.
- Thường xuyên cập nhật các phiên bản yahoo messenger mới nhất.

Lưu ý không chỉ với dạng tệp tin hình, mà còn có thể là tệp tin screen saver (bảo vệ màn hình) hay 1 tệp tin .exe, .com, .bat, .pif … đều có thể được các tin tặc dùng để cài trojan.

Cách 4: Lấy password qua cookie

Mức độ thành công: 30 %

Sau khi bạn đăng nhập, website sẽ tự động lưu thông tin vào cookie (dạng tệp tin text trên ổ cứng của bạn) để bạn có thể tự động đăng nhập lần sau.

Công cụ thực hiện:

Chương trình dịch tệp tin cookie. Tin tặc sẽ sao chép tệp tin cookie trên máy của bạn và dùng chương trình để dịch ngược lại nhằm chọn lọc các thông tin cần thiết.

Cách phòng chống

- Không nên đánh dấu vào trước dòng chữ Remember my ID on this computer để không lưu dấu tích của bạn trong Cookie.
- Khi rời khỏi máy tính nên xoá Cookie đi bằng cách: Mở IE, kích chuột vào Tools, Internet Options, Gerneral, Delete Cookie. Và cuối cùng, bạn kích chuột vào OK

Cách 5: Dùng trojan

Mức độ thành công: 90 %

Sau khi bạn mở web ra, 1 tệp tin sẽ tự động chạy mà bạn không hề hay biết. Thế là bạn đã bị nhiễm trojan rồi. Trojan này sẽ ghi nhận lại toàn bộ những gì mà bạn gõ lên bàn phím -> rồi gửi cho chủ nhân của nó (giống như key logger) (mức độ thành công lên đến 90% , còn 10% là bạn có mở web hay không thôi!)

Công cụ thực hiện

Rất đơn giản: tin tặc chỉ cần gửi cho bạn 1 địa chỉ web. Khi kích chuột vào bạn thấy trang web này đẹp quá. Vậy mà bạn đã bị dính trojan mà không hay rồi đấy.

Cái này là dựa vào lỗi của IE. Nó hoạt động như sau: Khi bạn mở một website, sẽ có đoạn code nhúng vào web, đoạn code đó sẽ tự động chèn vào tệp tin Notepad.exe. Sau đó nếu bạn mở Notepad.exe ra để thực thi thì chắc chắn bạn đã trở thành nạn nhân rồi.

Cách phòng chống

- Vào website http://microsoft.com để tìm bản service pack (bản sữa lỗi) mới nhất rồi cập nhật lại.
- Không nên mở trang web lạ.

Dưới đây là một số lời khuyên để tránh bị kẻ xấu lợi dụng để lấy password của bạn:

- Không mở tệp tin đính kèm của những e-mail mà người gửi bạn không biết

- Với OE 6, bạn có thể chỉnh trong Tools/Options/Security để chương trình này không cho phép mở hoặc lưu những tệp tin đính kèm khả nghi.

- Outlook và Outlook Express hỗ trợ HTML E-Mails. E-Mail kiểu này vừa đẹp vừa sinh động nhưng cũng rất nguy hiểm nếu bạn không biết cách phòng. HTML E-Mails có thể chứa những đoạn mã kiểu Script hay ActiveX có thể nhập vào và phá hoại hệ thống của bạn. Để tránh những hiểm họa có thể xảy ra, bạn nên thường xuyên cập nhật chương trình E-Mail, nên chỉnh Security Zone trong mục Tools/Options/Security của IE thành Restricted Sites Zone. Ngoài ra có thể loại bỏ tính năng ActiveX, Java trong Internet Explorer

- Dạng tệp tin txt có khi sẽ bị đổi thành TXT.EXE. Ví dụ, một virus mang tên happy99.exe có thể được đổi tên thành happy99.txt.exe để lừa người nhận, nhất là khi những phần mở rộng quen thuộc trong tên tệp tin được Windows giấu đi. Khi đó, bạn chỉ thấy một tệp tin mang tên happy99.txt và nghĩ rằng tệp tin TXT này chẳng có gì nguy hiểm.

- Trước khi mở các tệp tin đính kèm, hãy kiểm tra bằng một phần mềm Antivirus. Phần mềm này phải được cập nhật thường xuyên.

- Ngoài các tệp tin văn bản như TXT, tất cả các tệp tin đi kèm theo email đều có khả năng nhiễm virus. Đặc biệt đáng chú ý là các tệp tin có đuôi PIF, EXE, COM, SCR, VBS. Hiện nay các tập tin hình ảnh cũng có thể bị gắn các đoạn mã độc hại vào vì vậy bạn cũng nên cẩn thận với các thiệp điện tử..

Sưu tầm: www.ddthol.com

Để chúng ta hiểu rõ hơn về viết keylogger ,tôi attach kèm một app nhỏ (đơn giản). Lưu ý:Chỉ để hiểu xem chúng ta bị tấn công như thế nào để mà phòng tránh, không được dùng vào mục đích xấu !