Monday, June 6, 2011 - 17:19
#

Примеры защиты от шпионов

Шпион (кейлоггер) Keyber
Шпион Keyber - бесплатный клавиатурный шпион для Windows с функцией отправки отчётов на электронную почту и возможностью скрытного использования. Перехватывает введённые данные с клавиатуры, информацию о посещённых страницах браузера и др.

Шпион (keylogger) Keyber

Обнаружение бесплатного компьютерного шпиона Keyber и его удаление.

Опасность бесплатных простейших шпионов в первую очередь состоит в том, что они легко доступны для скачивания, постоянно появляются новые и как следствие получают большое распространение. В данной статье пойдёт речь именно о таком шпионе, который можно скачать и установить на любой компьютер абсолютно бесплатно. Шпион Keyber умеет перехватывать данные введённые с клавиатуры, получает информацию о посещённых страницах браузера, считывает какими программами и в какое время пользовались. Может создавать отчёты и высылать их на заранее указанную электронную почту. Набор отслеживающих функций очень маленький, но и их будет достаточно, чтобы предоставить большой вред наблюдаемому. Шпион запускается автоматически вместе с другими программами загрузки и никак себя не проявляет.

В маскировщике Mask S.W.B шпиона Keyber, можно обнаружить через монитор автозагрузки. В главном окне маскировщика нажимаем кнопку “Монитор автозагрузки” и сразу видим строку, выделенную желтым цветом с названием программы Keyber.exe и путь по которому он установлен.

Шпион Keyber обнаружен, теперь для его удаления нажимаем на желтую строку правой кнопкой мышки и в контекстном меню выбираем сначала пункт “Открыть папку с приложением” потом возвращаемся и выбираем второй пункт “Удалить из автозагрузки”.

Шпионская программа в автозагрузке.

В открывшийся папке мы видим программный файл Keyber.exe и библиотеку с функциями перехвата KeyberHook.dll. Эти файлы в месте с папкой нужно удалить. Но запущенный процесс от шпиона не даст это сделать.

Папка со шпионом Keyber.exe

По этому переходим в монитор маскировщика “Процессы системы” находим там пункт с именем процесса шпиона Keyber.exe и через контекстное меню завершаем его работу.

Шпион Keyber.exe в процессах системы.

Далее возвращаемся в папку шпиона Keyber и полностью её удаляем. После проделанных действий шпион не сможет больше причинить вред пользователю компьютера.

Этот шпион использовал хуки перехвата для воровства информации и внедрял их в систему, через свою библиотеку KeyberHook.dll, мы обнаружили его процесс и через него вышли на место нахождения и там обнаружили эту библиотеку. Но может возникнуть вопрос, а что если бы шпион не использовал программные файлы и процессы, то, как можно было обнаружить слежку через библиотеку .dll? У нас есть другие статьи к другим шпионам и там мы всё это описываем, но сейчас в этой статье мы ещё раз продемонстрируем, как это сделать на примере шпиона Keyber, если бы он не использовал программный процесс.

Нажимаем в главном окне маскировщика кнопку “Монитор DLL“ и в открывшемся списке можно увидеть активные библиотеки DLL, которые подгружаются во многие процессы, обычно среди них и выделяются желтым или красным цветом шпионские библиотеки. Но шпион Keyber не подгружал свою библиотеку в другие процессы, а устанавливал системные хуки. По этому для обнаружения таких файлов, в окне монитора библиотек, нажимаем кнопку “Все DLL”, далее делаем сортировку файлов по времени, нажимая на верхнею рамку списка, с именем “Время”. Происходит сортировка библиотек по дате установки и всё, что нам нужно, это посмотреть список недавно установленных файлов DLL.

Шпионская библиотека KeyberHook.dll в мониторе DLL

В самом верху списка мы сразу видим библиотеку с именем KeyberHook.dll, без описания, без имени компании, без номера версии, без каких либо опознавательных данных. Этот файл, как мы уже знаем от шпиона Keyber. Таки образом мы вычислили шпионскую библиотеку, даже если бы она не использовала программные процессы. Этот и другие описываемые нами методы можно использовать для обнаружения разных шпионов и методов слежения.

Как уже в начале статьи было сказано, что появление новых шпионов, а тем более, бесплатных - это процесс систематичный и наивно полагать, что он, когда ни будь сам остановиться. Шпионы и слежка за людьми, была, есть и будет и единственный выход в такой ситуации научиться хорошо себя защищать. Мы знаем, что своевременное обнаружение слежения и удаления шпионского модуля, избавить нас от многих проблем. Но как быть в тех ситуациях, когда на обнаружение и удаление нет времени или не возможности по той или иной причине, а слежка есть.

Сейчас мы расскажем про метод, о котором рассказываем в каждой статье и это новое направление маскировка действий пользователя внутри защищённой среды программы Mask S.W.B от перехвата клавиатурного ввода и снятия данных с экрана монитора. Ничего искать или удалять в компьютере не надо, открываете программу маскировщик, в главном окне нажимаете кнопку с логотипом и надписью “Вход в платформу защиты” и всё что нужно было делать на компьютере, делайте в защищённой среде.

Вход в платформу защиты Mask S.W.B

У нас на сайте в примерах защиты большое количество изученных и протестированных шпионских угроз и в каждой статье мы демонстрируем, что видит тот или иной шпион, когда мы находимся в платформе защиты. Вы можете зайти к нам в этот раздел и посмотреть про любого интересующего шпиона, которые изучались в нашей лаборатории. А в этой статье мы показываем, что смог увидеть и перехватить шпион Keyber после того, как мы вышли с защищённой среды маскировщика Mask S.W.B, в которой находились длительное время. Печатали текст, просматривали страницы сайтов, копировали данные в буфер обмена и смотрели в плеере видео ролики.

Окно настроек шпиона Keyber

И как мы видим пусто. Шпион Keyber не смог перехватить никакую информацию о наших действиях в защищённой среде. Иногда следящие программы могут видеть в своих логах, какие программы используются пользователем, но что он делал в них, ни смог перехватить, ни один шпион из всех тестируемых, и этот не исключение.

Скачайте программу антишпион — маскировщик Mask S.W.B и проверьте - осуществляется ли за вами скрытая слежка при помощи шпиона Keyber

Вернуться назад