ШПИОН ДЛЯ САМОГО СВЯТОГО

ЗАЙЦЕВ ОЛЕГ

Спецвыпуск: Хакер, номер #070, стр. 070-040-3

Исследование показало, что, несмотря на функциональность, маскировка процесса у него отсутствует (за исключением простейшей руткит-маскировки от диспетчера задач Windows), а принцип действия основан на ловушке. Поведенческий анализатор AVZ показал, что ловушка построена по классическому алгоритму:

C:\Program Files\ASMonitor\hprog.dll --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\ASMonitor\hk.dll --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\ASMonitor\hk.dll>>> Поведенческий анализ:

1. Реагирует на события: клавиатура

2. Передает данные процессу: 2024 C:\Program Files\ASMonitor\ASMonitor.exe (окно = "Actual Spy - НЕЗАРЕГИСТРИРОВАННАЯ ВЕРСИЯ")

В данном протоколе hprog.dll – это руткит для маскировки процесса, а hk.dll – библиотека с ловушкой. Почему эти две библиотеки не объединены в одну – не совсем понятно, видимо, hprog.dll применяется только по NT-системами. Дальнейшее изучение показало, что процессы и библиотеки данного кейлоггера обнаруживаются любым альтернативным диспетчером процессов. Кроме того, в составе кейлоггера есть BAT-файл с командой «netsh firewall add allowedprogram program=asmonitor.exe name=System» – выполнение данного файла приводит к внесению главного исполняемого файла asmonitor.exe в список разрешенных для встроенного Firewall.

ELITE Keylogger 2.6

Сайт разработчика http://www.widestep.com/

Размер дистрибутива – 3 МБ

Этот кейлоггер обладает самой мощной руткит-защитой из всех исследованных. Вначале предлагает выбрать режим установки — по умолчанию применяется режим «невидимой установки» (без создания ярлыков и регистрации деинсталлятора программы в «установке и удалении программ»).

Шпион устанавливает в систему три драйвера. Драйвер с именем usbkbd.sys применяется для маскировки остальных драйверов. Маскировка состоит в перехвате функций ZwCreateKey, ZwEnumerateKey и ZwOpenKey для сокрытия ключей реестра, принадлежащих драйверам кейлоггера. Драйвер extfs.sys является фильтром файловой системы и применяется для маскировки файлов кейлоггера на диске. В сумме он прячет не менее 6-ти файлов. И, наконец, tdiip.sys – собственно, сам клавиатурный шпион, выполненный в виде фильтра клавиатуры.

Анализатор протоколов предоставляет типичные для продуктов данного класса функции, но обладает одной особенностью: у него имеется специальная подсистема для регистрации паролей, вводимых пользователем (причем фиксируются все пароли, включая пароль при входе в систему).

Данный кейлоггер наиболее близок к идеальному из всех исследованных, так как у него нет процессов или внедренных в другие программы библиотек, а его файлы и ключи реестра надежно замаскированы руткитом. Однако руткит-маскировка одновременно является его слабой стороной, поскольку обнаружение перехватов и посторонних фильтров позволяет заподозрить, что в системе творится что-то неладное.

Family Key Logger

Сайт разработчика - http://www.spyarsenal.com/.

Изображение: FamilyKeylogger.bmp

Достаточно распространенный кейлоггер, и в описании, как всегда, заявлена его абсолютная невидимость, однако посмотрим на лог AVZ: