Trao đổi với tôi

http://www.buidao.com

1/10/10

[Virus] Những keylogger... "tà đạo"

Benina says: Bài này có lâu rồi, đọc chơi cho vui

TTO - Trong kỳ cuối cùng của chủ đề keylogger này, chúng tôi xin trình bày điểm đặc trưng của một số chương trình keylogger thuộc dạng "tà đạo" tức các keylogger thuộc dạng nguy hiểm nhất hiện nay.

Keylogger "tà đạo" được xem là bước phát triển tối cao của các keylogger "bá đạo". Ngoài việc có đầy đủ những đặc điểm như các keylogger "bá đạo", các keylogger "tà đạo" còn là các keylogger được trang bị thêm một chương trình mã độc, thường là một con Trojan nguy hiểm có khả năng gửi toàn bộ các thông tin do keylogger thu thập được về cho chủ nhân của nó. Sau đây là 5 chương trình keylogger "tà đạo" phổ biến hiện nay.

1. Golden Eye: Cài đặt mặc định trong thư mục C:\Program Files\A8GsdsApp; File thực thi mang tên AGSeiApp.exe; Ghi nhận các thông tin bàn phím dưới dạng HTML, chụp ảnh màn hình dưới dạng JPG và chứa các thông tin ăn cắp được trong thư mục “Output” nằm trong thư mục cài đặt chương trình; Sử dụng tổ hợp phím nóng ALT+CTRL+SHIFT+P để ẩn mình hoặc kích hoạt. Trong thư mục cài đặt của keylogger này có một file tên kbhook.dll có chứa con trojan mang tên Generic.MRA có khả năng gửi thông tin ghi nhận được về đến các máy chủ bí mật. Đây là một trong những keylogger có các tính năng được thiết kế ở mức chi tiết nhất hiện nay.

2. Perfect Keylogger: Cài đặt mặc định trong thư mục C:\Program Files\BPK; File thực thi mang tên bpk.com; Có chứa một con trojan nguy hiểm mang tên PS.Banker.25.S nằm trong file mang tên Inst.bin. Khi cài đặt, keylogger này sẽ cố gắng đưa con trojan này vào thư mục “Temp”, nằm cực sâu trong thư mục “Documents and Settings”. Con trojan này chuyên ghi nhận các mật khẩu giao dịch tài chính điện tử trên mạng để gửi về cho chủ nhân của nó. Khi trojan PS.Banker.25.S bị các chương trình chống virus “bức tử” thì công cụ keylogger này cũng không còn hoạt động được nữa.

Giao diện sử dụng của Spy Recon

3. Spy Recon: Cài đặt trong thư mục mặc định là C:\Program Files\Spy Recon - Platinum; File thực thi mang tên svrsrn.exe; Chứa các file ghi nhận hoạt động của máy dưới dạng TXT trong thư mục “Logs” nằm trong thư mục cài đặt; Keylogger này có chứa một con trojan mang tên Trojan.Spy.Spyrecon.A ẩn mình trong file cbt.dll có khả năng gửi toàn bộ thông tin ăn cắp được đến đến một e-mail nào đó cũng như gửi thông tin trực tiếp cho chủ nhân của nó.

Giao diện thiết lập tùy biến người dùng của XPCSpy

4. XPCSpy Pro: Cài đặt mặc định trong thư mục C:\Program Files\Xsoftware; File thực thi mang tên XPCSpyPro.exe; Chứa file chụp ảnh màn hình dưới dạng file XSM trong thư mục “Screenshots” nằm trong thư mục cài đặt. Dạng file XSM này thực chất là JPG nhưng đã được keylogger này cải trang thành XSM; Ghi nhận hoạt động bàn phím trong dạng file TXT và chứa trong thư mục tên “Report” cũng nằm luôn trong thư mục cài đặt. Keylogger này tung vào máy tính một con trojan mang tên Trojan.Spy.Delf.DU, ẩn mình trong file mang tên systemout.exe và nằm trong thư mục Windows\System32; Có khả năng gửi kết quả ghi nhận được đến một địa chỉ e-mail nào đó, đồng thời bí mật gửi 1 bản sao đến tác giả thiết kế nên con trojan.

5. Fingerprints: thư mục cài đặt mặc định là C:\Fingerprints; Ngay khi cài đặt là Fingerprints sẽ tung ngay một con trojan mang tên Trojan.Spy.Agent.JF nằm ẩn trong file keyhooi.dll vào thư mục Windows\system32; Keylogger này sẽ lưu file ghi nhận hoạt động bàn phím của nó dưới dạng file FLF trong thư mục cài đặt mà ta có thể xem bằng NotePad; Khi máy tính được nối mạng, trojan này cũng sẽ bí mật gửi các file FLF kết quả về cho chủ nhân của nó.

HOÀNG HẢI

RefLink: http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=158854&ChannelID=16