Как бы хитры не были кейлоггеры, но и их можно обнаружить. Существует несколько способов.
Этот метод позволяет точно определить наличие клавиатурных шпионов, правильный выбор сигнатур может свести вероятность ошибки к нулю. Но сигнатурный сканер способен обнаруживать уже известные и описанные в его БД объекты, поэтому это требует, чтобы база большой и постоянно обновлялась.
Данный способ находит кейллогер по его характерным особенностям и позволяет обнаруживать стандартные клавиатурные ловушки. Как показывают исследования показали, сотни безопасных программ, не являющихся клавиатурными шпионами, устанавливают ловушки для слежения за мышью и вводом с клавиатуры. Например, известная программа Punto Switcher, ПО от мультимедийных клавиатур и мышей.
Способ основан на перехвате ряда функций, применяемых клавиатурными шпионами, таких, как SetWindowsHookEx, UnhookWindowsHookEx, GetAsyncKeyState, GetKeyboardState.
Отслеживание драйверов, процессов, сервисов, используемых системой
Способ годится не только для отслеживания кейлоггеров. Самый простой вариант использования - применение программы типа Kaspersky Inspector, отслеживающей появление в системе новых файлов.
Зачастую, известные кейлоггеры уже добавлены в базу данных , и поэтому методика защиты такая же, как от любого вредоносного софта:
Стоит заметить, большинство антивирусных программ относит кейлоггеры к классу потенциально опасного ПО, и тут необходимо уточниться, что в настройках по умолчанию антивирусный продукт детектирует наличие подобного рода программ. Если нет, то стоит произвести настройки вручную, чтобы защититься от большинства распространенных шпионов.
Вообще, так как кейлогееры нацелены на шпионаж за конфиденциальными данными, то следует прибегнуть к следующим способам безопасности:
Использование одноразовых паролей/двухфакторная аутентификация
Использование систем проактивной защиты , позволяющей предупреждать пользователя об установке /активизации программыхкейлоггеров
Использование виртуальной клавиатуры , представляющей клавиатуру на экране в виде изображения, позволяет защититься и от программных, и от аппаратных шпионов.
Какими же способами защититься от этой нечистой силы?
Стоит отметить, что софт, направленный на отлов клавиатурных шпионов, имеет две особенности: программное обеспечение такого рода по большей части платное и редко присутствует русский язык.
К примеру, англоязычный бесплатный софт Advanced Spyware Remover - избавляет от рекламных программ, звонильщиков, программ-шпионов, кейлоггеров, и т.д.
Установка стандартная, следует нажимать «Далее», ошибиться сложно. После установки предлагается запустить программу. Для сканирования жмем «Scan Now».
Правда, стоит заметить, что программа не обновлялась 3 года.
А вообще, данныя программа проводит проверку системного реестра на наличие в нем ключей вредоносных программ. Утилита имеет некоторые функциональные возможности, тем самым позволяя отображать список загружаемых программ при старте операционной системы (“HiJack Scan→Startup“), выводить список сервисов, показывать активные порты, просмотривать “куки” Internet Explorer и др. После сканирования появится подобное окно:
Если обратить внимание на что-то посвежее, то можно воспользоваться Spyware Terminator 2012 (правда, небезвозмездно). Утилита способна обнаружить и удалить почти все виды вредоносного ПО. Встроенная система безопасности активирует защиту приложений и системы, мониторит утилиты, непосредственно взаимодействующие с сетью.
и многое другое. Anti-keylogger не использует сигнатурные базы, так как базируется только на эвристических алгоритмах. Anti-keylogger способна защитить от целенаправленных атак, которые весьма опасны и популярны у киберпреступников. Особенно эффективно в борьбе с клавиатурными шпионами, основанными на применении ловушек, циклического опроса и клавиатурного драйвера-фильтра.
Anti-keylogger имеет бесплатный вариант, ограниченный временем использования – 10 рабочих сессий, каждая по 2 часа, что вполне достаточно для проверки ПК за один раз.
Итак, что же имеем:
Оставьте свой комментарий!
Антивирусное программное обеспечение | Версия | Обнаружение |
---|---|---|
K7 AntiVirus | 9.179.12403 | Unwanted-Program (00454f261) |
Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
Dr.Web | Adware.Searcher.2467 | |
McAfee-GW-Edition | 2013 | |
VIPRE Antivirus | 22702 | Wajam (fs) |
Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
VIPRE Antivirus | 22224 | MalSign.Generic |
Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
ESET-NOD32 | 8894 | Win32/Wajam.A |
До сего дня мы рассматривали противодействие скрытному наблюдению за вами, осуществляемому с помощью относительно простых и распространённых средств. Давайте теперь посмотрим, как с помощью COVERT справиться с более сложными и мощными средствами кибер-шпионажа.
Антивирусное и анти-шпионское ПО должно регулярно обновлять свои базы данных, содержащие информацию о вирусах, троянах и другом зловредном ПО. И с появлением новой, ещё неизвестной угрозы, может пройти довольно значительное время, прежде чем новый зловред будет внесён в эти базы. А значит, ваш компьютер в это время будет находиться без защиты от keylogger. А что будет, если нет возможности внести зловредное ПО в базу данных, если такой компьютерный шпион постоянно меняется и мутирует?
Именно этим качеством обладают элитные клавиатурные шпионы. Они абсолютно невидимы. Сложнейшие программные кейлоггеры работают в скрытом режиме, и их невозможно обнаружить никакими анти-кейлоггерами, и тем более – антивирусами. Ядро такой шпионской программы обновляется ежедневно. Внутренний код элитного кейлоггера меняется постоянно, и никто, кроме кибер-преступника, установившего такой кейлоггер, не знает о том, что компьютер находится под наблюдением. В этом случае пасует любое классическое защитное ПО, будь то антивирусы, антикейлоггеры, антируткиты итп.
Как обнаружить элитного кейлоггера Elite Keylogger или другого шпиона, работающего на основе драйвера файловой системы в режиме ядра в вашем компьютере?
Запустите программу COVERT, нажмите на кнопку «Драйверный монитор».
В открывшимся окне, все пункты списка активных драйверов файловой системы должны быть выделены зелёным цветом. Это строки с именами драйверов и их адресами в системе, которые или являются системными, или одобрены разработчиком. Также зелёным выделены драйвера, которые одобрил сам пользователь.
В случае если у вас всё выглядит именно так, смело заходите в платформу защиты, нажав на большую кнопку с надписью COVERT в главном окне программы. И знайте, что в вашей системе нет активных шпионов, которые бы использовали драйвера в режиме ядра.
А вот что вы увидели бы в окне драйверного монитора, если бы вам кто-то установил на компьютер профессиональный кейлоггер Elite Keylogger.
Появился новый активный драйвер, он выделен желтым цветом. (Желтым цветом будут выделены драйвера, не внесённые в разрешённую базу и не относящиеся к в системным). Это говорит о том, что у вас в системе появился неизвестный драйвер, и его нужно проверить. Нажмите на него правой кнопкой мыши и в контекстном меню выберите пункт «Искать информацию в Интернет».
На специальном сервере, где собрана информация обо всех системных и известных файлах, вы получите ответ о происхождение этого драйвера. Если есть информация о программе, к которой он относится, известна компания-разработчик, и путь его установки совпадает с тем, по которому он находиться у вас, вы можете добавить его «Разрешённую базу», используя контекстное меню. После обновления списка он станет зелёным, одобренным драйвером. Но информации может и не быть, как в нашем случае.
«No Results» — в базах системных и известных драйверов такой файл не был обнаружен. Всё верно:это – драйвер программы-шпиона Elite Keylogger. Запоминать его название не стоит, так как при каждой установке на ваш или любой другой компьютер он генерирует новые имена и обновляет внутренний код программы, никогда не повторяясь. Благодаря этой особенности внести его в базу антивирусов или антишпионов просто невозможно. Именно поэтому его называют «элитным шпионом». Такие шпионы могут находиться на компьютерах пользователей долгие годы, не будучи обнаруженными классическими методами защиты.
Но для программы COVERT обнаружение таких шпионов – не проблема. Мы буквально за несколько секунд выявили существующую угрозу на нашем компьютере, и поверьте: для программы-маскировщика COVERT не имеет значения, ни название шпионского ПО, ни его внутренний функционал. COVERT не работает с базами зловредного ПО, определяя шпионское ПО по совершенно другим критериям. Никакой драйвер, не являющийся системным и не принадлежащий ни одной компании на земле не должен находиться в вашей системе. Тем более, если он появился внезапно.
Шпионская угроза в виде драйвера файловой системы обнаружена, теперь посмотрим, как от неё избавиться.
Нажмите на неизвестный драйвер правой кнопкой мыши и в контекстном меню выберите пункт «Удалить драйвер».
Высветится сообщение с предупреждением об опасности такого рода действий.
Если вы уверены в своих действиях — нажимайте кнопку «Да».
После удаления шпионского драйвера перезагрузите компьютер и посмотрите снова в «Драйверном мониторе»: все пункты списка «Активных драйверов» должны быть зелёными. Если это так, шпион Elite Keylogger обезглавлен, он не сможет работать и тем более угрожать потерей информации внутри защищённой платформы COVERT.
PS. Если у вас есть COVERT – элитные шпионы становятся не такими уж и элитными .
В предыдущей статье мы рассказывали . А в этой статье мы поможем вам найти и удалить клавиатурный шпион REFOG Keylogger . И делать это будем не сторонними программами, которые не всегда помогают, а методом поиска и удаления мастер пароля на вход(администрирование) самой программы шпиона.
На предыдущих ранних версиях, для того чтобы определить установлен ли у вас кейлоггер Refog надо было в строке пуск написать «runrefog» или нажать на комбинацию клавиш Ctrl+Shift+K . В последних версиях программы появилась возможность изменять секретную фразу для запуска программы. Поэтому фраза «runrefog» может и не запустить программу, если её изменили.
По умолчанию программа Refog Keylogger устанавливается в эти папки:
Попробуем их найти на компьютере. В меню пуск набираем:
Если после нажатия на клавишу enter вы получаете ошибку о том что Windows не может найти данную директорию, это означает что на вашем компьютере не установлен Regog Keylogger. Конечно злоумышленник мог бы изменить путь, но обычно большинство людей это не делают. Если открылась папка с файлами: «M0000» и ярлыком на программу «Refog Keylogger» .
Почти во всех версиях программы кейлоггер создаёт ярлык на папку все кроме версии Refog Personal Monitor. Если вы не нашли ярлык, попробуйте поискать поиском файл «MPKView.exe»
Итак мы нашли программу или ярлык на неё, запускаем, перед нами появляется окно для ввода мастер пароля. Не закрывая окно, идём в контрольную панель. В настройках папки переходим на вкладку вид. Выбираем показывать скрытые файлы, папки и драйвера. И убираем галочку с «Скрыть системные защищённые файлы». Теперь возвращаемся в папку, и удаляем файл «S0000» который там появился. Закрываем все окна и обязательно перезапускаем компьютер!
Заходим в папку кейлоггер, запускаем программу. Теперь откроется окно программы без окошка ввода пароля. Ура! Мы обошли защиту программы.
Теперь у нас есть 2 варианта: мы можем удалить программу кейлоггер, или сменив пароль наблюдать за действиями того кто её вам установил, таким образом вы не только удалите кейлоггер но и узнаете кто её вам подсунул.
P.S. Самая плохая ситуация в области информационной безопасности это ситуация, которую вам больше прочего надлежит опасаться - это ощущение безопасности, когда в действительности вы не защищены.
Прочитав статью , вы узнаете какие существуют приложения для защиты от кейлоггеров, клавиатурных шпионов.
Компьютер, зараженный вирусами — это всегда неприятно. Под угрозой оказываются личные файлы пользователя, номера его расчетных счетов в интернете, стабильность операционной системы и даже физические компоненты компьютера. На нашу радость существует много предприимчивых людей, создающих программное обеспечение для борьбы с вирусами. С каждым разом клиентам обещают “еще больший уровень обнаружения нежелательного ПО!”, за который приходится платить деньгами и мощностью ресурсов компьютера. Этого вам точно не скажут в рекламе, но в любом антивирусе есть список доверенных программ со шпионскими функциями, которые прекрасно запускаются, устанавливаются и работают при включенной активной защите. Одна из категорий такого ПО — кейлоггеры.
Задача самого простого клавишного шпиона — перехватывать каждое нажатие на клавиатуре. Здесь у злоумышленника более приземленные и конкретные цели: украсть любой логин и пароль, прочитать личную переписку, увидеть любое действие на компьютере. Современные кейлоггеры умеют делать снимки экрана, записывать позицию курсора, следить за буфером обмена, перехватывать входящие сообщения во всех популярных сервисах и многое другое. Есть подозрение, что начальство следит за вами на рабочем месте? Родители хотят взять под контроль вашу активность в интернете? Взломали аккаунт в соц.сети? Тогда смело на поиск и обезвреживание кейлоггера!
Существуют аппаратные и программные шпионы. Первый тип легко распознать при визуальном осмотре клавиатуры и ее шнура. Иногда он имеется вид платы, встроенной внутрь самой клавиатуры (на корпусе должны быть следы ее вскрытия), но чаще это подозрительный и совершенно ненужный переходник USB или OS/2.
Это маленькое устройство умеет записывать нажатия клавиш на встроенную память, передавать данные по Wi-Fi или через мобильную сеть на удаленный компьютер.
Второй тип шпионов не только богаче по функциям, но и скрывается не в пример лучше — среди запущенных программ и служб пользователя. Чаще всего их деятельность хорошо замаскирована и визуально никак себя не проявляет. Например, каждый пользователь компьютера встречался с такой “полезной” программой, как Punto Switcher? Вот это и есть самый настоящий кейлоггер. Если в разделе “Настройки” -> “Дневник” установлена галочка “Вести дневник”, а на самих записях установлен незнакомый пароль, то за этим компьютером уже кто-то наблюдает. Вычислить и обезвредить такую программу можно только при комплексном подходе и поочередном выполнении следующих инструкций.
Заходим в меню “Пуск”, нажимаем на ссылку “Выполнить…” (либо можно воспользоваться сочетанием клавиш WIN+R), в диалоговом окне пишем команду “msconfig” и нажимаем ввод. На вкладке “Автозагрузка” присутствуют все программные компоненты, стартующие вместе с Windows. Подозрительные или попросту ненужные программы лучше отключить, сняв флажок рядом с их именем. Если элемент в списке незнаком, лучше не спешить его удалять. К примеру, на запрос в гугле “Что такое jusched.exe” получена информация, что это компонент Java машины на компьютере, очень нужный и полезный, поэтому удалять его не стоит.
Далее таким же образом проверяем ключи реестра для автозагрузки. Для этого в диалоговом окне “Выполнить…” вводим команду “regedit” и ищем следующие параметры:
— путь HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion ветки Run и RunOnse;
— путь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion ветки Run и RunOnse.
Здесь также не должно остаться подозрительных ключей.
Кейлоггер может быть замаскирован под службу Windows. Поэтому необходимо просмотреть весь список запущенных компонентов и остановить подозрительную активность. Полный перечень доступных работающих служб можно найти по пути “Пуск” -> “Панель управления” -> “Администрирование” -> “Службы”. Действия здесь аналогичны тем, что требовались для очистки автозагрузки: ищем в интернете по названию, читаем описание, если не служба нужна — останавливаем.
Пожалуй, лучшей на сегодняшний день утилитой в этой области является бесплатная программка Virus Total Uploader.
Нас интересует возможность этой программы по отправке на проверку запущенных в системе подозрительных процессов. Для этого необходимо мышкой выделить программу и нажать на кнопку “Upload process executable”. После загрузки откроется сайт с результатом проверки более сорока различными антивирусами. Если количество определений превысило десять, а также среди программ для проверки опознали вирус известные и популярные пакеты, тогда есть повод подозревать загруженный процесс.
Существует множество программ, разработанных специально для того, чтобы бороться с кейлоггерами. К сожалению, у всех антишпионов есть один существенный минус — они часто удаляют нужные и полезные для работы Windows DLL-перехватчики, являющиеся компонентами самой операционной системы. На этот случай была разработана специальная программа под названием AVZ, которая при поддержке лабораторией Касперского проявила себя как универсальный инструмент для борьбы с клавиатурными перехватчиками.
Все, что нужно для проверки, это скачать саму программу и базы данных к ней, проверить свой компьютер, а потом выложить текст с результатом проверки на форум Касперского (если понадобиться). Большой плюс такого подхода в том, что AVZ ничего важного или неизвестного не удаляет без согласия пользователя. Только после получения поддержки на сайте можно принять наиболее правильное решение.