Клавиатурные шпионы. Принципы работы и методы обнаружения - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
vaber

Клавиатурные шпионы. Принципы работы и методы обнаружения

Recommended Posts

vaber

http://www.kaspersky.ru/news?id=207732482

«Лаборатория Касперского», ведущий разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о публикации на информационно-аналитическом ресурсе Viruslist.com первой части статьи заместителя директора департамента инновационных технологий компании Николая Гребенникова, посвященной опасной разновидности шпионских программ – клавиатурным шпионам, или кейлоггерам, позволяющим перехватывать пароли и другую конфиденциальную информацию, вводимую пользователем с помощью клавиатуры.

Николай Гребенников рассказывает о принципах действия клавиатурных шпионов, путях их распространения и методах применения кейлоггеров злоумышленниками. Статья содержит описание основных технологий, используемых вирусописателями для создания вредоносных программ этого типа и скрытия их активности в системе.

В материале приводятся реальные случаи крупных финансовых потерь, понесенных пользователями, пренебрегавшими элементарными правилами компьютерной безопасности и пострадавшими от клавиатурных шпионов. Для предотвращения большинства подобных случаев достаточно применения ряда простых защитных мер, однако, к сожалению, неосведомленность и беспечность пользователей делает их легкими жертвами преступников.

В статье Николая Гребенникова подробно описываются основные способы защиты от клавиатурных шпионов, эффективные в абсолютном большинстве случаев и при этом простые и легко доступные даже для неопытных пользователей.

С полной версией статьи можно ознакомиться на информационно-аналитическом ресурсе Viruslist.com.

Вторая часть материала выйдет в свет на портале Viruslist.com в середине апреля.

http://www.viruslist.com/ru/analysis?pubid=204007536

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
http://www.kaspersky.ru/news?id=207732482

«Лаборатория Касперского», ведущий разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о публикации на информационно-аналитическом ресурсе Viruslist.com первой части статьи заместителя директора департамента инновационных технологий компании Николая Гребенникова, посвященной опасной разновидности шпионских программ – клавиатурным шпионам, или кейлоггерам, позволяющим перехватывать пароли и другую конфиденциальную информацию, вводимую пользователем с помощью клавиатуры.

Николай Гребенников рассказывает о принципах действия клавиатурных шпионов, путях их распространения и методах применения кейлоггеров злоумышленниками. Статья содержит описание основных технологий, используемых вирусописателями для создания вредоносных программ этого типа и скрытия их активности в системе.

В материале приводятся реальные случаи крупных финансовых потерь, понесенных пользователями, пренебрегавшими элементарными правилами компьютерной безопасности и пострадавшими от клавиатурных шпионов. Для предотвращения большинства подобных случаев достаточно применения ряда простых защитных мер, однако, к сожалению, неосведомленность и беспечность пользователей делает их легкими жертвами преступников.

В статье Николая Гребенникова подробно описываются основные способы защиты от клавиатурных шпионов, эффективные в абсолютном большинстве случаев и при этом простые и легко доступные даже для неопытных пользователей.

С полной версией статьи можно ознакомиться на информационно-аналитическом ресурсе Viruslist.com.

Вторая часть материала выйдет в свет на портале Viruslist.com в середине апреля.

http://www.viruslist.com/ru/analysis?pubid=204007536

любопытно. но как эта статистика отделила радиоперехват клавиатурных сигналов? Ведь там оченно красивые прямоугольные почти идеальные импульсы -особенно с радиоклавиаткр.... Да и шнурочек клавы не более как антенна.... проще некуда... а народ на кейлоггеры косит -а радиус перехвата клавы чуть ли не наибольший среди всех устройств! и не требующий усилий для дешифровки :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
любопытно. но как эта статистика отделила радиоперехват клавиатурных сигналов? Ведь там оченно красивые прямоугольные почти идеальные импульсы -особенно с радиоклавиаткр....

В статье речь идет только о программых кейлогерах, которых может детектировать антивирус. Понятно, что против аппаратных методов шпионажа никакой антивирус не поможет. Вс равно что защищаться файрволом от считывания информации по колебаниям стекла помещения, где уставлены ПК. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
любопытно. но как эта статистика отделила радиоперехват клавиатурных сигналов? Ведь там оченно красивые прямоугольные почти идеальные импульсы -особенно с радиоклавиаткр....

В статье речь идет только о программых кейлогерах, которых может детектировать антивирус. Понятно, что против аппаратных методов шпионажа никакой антивирус не поможет. Вс равно что защищаться файрволом от считывания информации по колебаниям стекла помещения, где уставлены ПК. :-)

Я говорил только о том, что оценить ущерб от этого вида вредоносов крайне тяжело. Поскольку наличие на компе кейлоггера не говорит о том, что перехват выполнен с его помощью. Были случаи в практике - когда найденный кейлоггер обвинили в ущербе.... а он, бедный, не мог "проломиться" через периметр, а все перехваты шли через эфир - благодаря радиоклавиатурам. Не более того, как некоторый комментарий

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Клавиатурные шпионы. Варианты реализации кейлоггеров в ОС Windows. Часть II

Николай Гребенников

Данная статья является продолжением предыдущей обзорной статьи, посвященной кейлоггерам, и представляет детальный анализ технических аспектов реализации кейлоггеров. Как было сказано в первой статье, принципиальная идея кейлоггера состоит в том, чтобы внедриться между любыми двумя звеньями в цепи прохождения сигнала от нажатия клавиш на клавиатуре до появления символов на экране. Мы проанализируем, какие звенья содержатся в данной цепи, а также рассмотрим варианты построения программных и аппаратных кейлоггеров.

Прочитать полностью статью можно перейдя по ссылке:

http://www.viruslist.com/ru/analysis?pubid=204007541#pt21

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Есть цепочка запуска: Есть цепочка запуска по образу, полученному с отслеживанием версией 4.99.6 https://imgur.com/xSA79Bm    
    • PR55.RP55
      "Использование групповой политики для удаленной установки программного обеспечения..." Возможно есть смысл информировать Оператора, что такая политика существует.    
    • demkd
      ---------------------------------------------------------
       4.99.7
      ---------------------------------------------------------
       o В окно истории процессов добавлен новый фильтр.
         Активировать его можно в контекстном меню процесса с помощью пункта "Отобразить цепочку запуска процесса".
         В результате в списке останется лишь текущий процесс и все его предки вплоть до SYSTEM.
         Фильтр имеет средний приоритет, т.е. фильтр на родительский процесс имеет высший приоритет, затем идет
         этот фильтр, затем фильтр по строке происка. Отмена фильтров по ESC происходит в обратном порядке
         в соответствии с их приоритетом.
         (!) В истории процессов 64-х битных систем рекомендуется обращать внимание на запуск 32-х битного cmd.exe
         (!) часто это является признаком зловредной активности.

       o В лог добавлено предупреждение при обнаружении отладчика/блокировки запуска/монитора завершения приложения.
         В лог выводится исходное значение параметров Debugger и MonitorProcess.
         Таким образом сразу будет видно если известные файлы были использованы для блокировки запуска процессов
         или неявного запуска несистемных процессов.

       o Твики #35 обновлен, теперь он называется: "Очистить ключи IFEO и SilentProcessExit".
         Теперь в лог выводятся все удаленные параметры или имя ключа с ошибкой удаления параметра.

       o Изменено название статуса "Исключение" на "Defender_Исключение".

       o Изменен префикс названия объекта "WD_Exclusion:" на "WDE:".

       o Исключения дефендера теперь могут быть удалены лишь в ручном режиме.

       o Исправлена ошибка в парсере json.

       o Исправлена ошибка "...не найден в списке" при удалении некоторых исключений Defender-а скриптовой командой.
       
    • demkd
      причина сбоев в том что пользователь включает опасные флаги при запуске, в частности заморозку потоков или выгрузку DLL. да Работать с образом нужно в той локализации, с которой был сделан образ, иначе будут проблемы.
    • PR55.RP55
      + Нюанс... Есть образ втозапуска созданный в\на англицкой версии uVS И если отдать команду: Запретить запуск файла (по хешу) то получим: (!) Не удалось получить размер файла C:\USERS\USER\APPDATA\LOCAL\PROTECTBROWSER\PROTECTBROWSER.EXE так как в Инфо:  Size 812544 bytes Правда при чём тут размер файла ? https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=130161&action=download  
×