Keyloggery - jak działają i jak można je wykryć
2007-04-08 00:06
Przeczytaj także: Kaspersky: ataki internetowe na firmy
Jak wynika z jednego z najnowszych raportów VeriSign, w ostatnich latach firma odnotowała szybki wzrost liczby szkodliwych programów z funkcjonalnością keyloggera.
fot. mat. prasowe
Według badania przeprowadzonego przez Johna Bambeneka, analityka SANS Institute, tylko w Stanach Zjednoczonych 10 milionów komputerów zainfekowanych jest szkodliwym programem z funkcjonalnością keyloggera. Na podstawie tych danych, jak również liczby amerykańskich użytkowników systemów płatności online, potencjalne straty zostały oszacowane na 24,3 milionów dolarów.
Kaspersky Lab nieustannie wykrywa nowe szkodliwe programy z funkcjonalnością keyloggera. Jeden z pierwszych alertów wirusowych na stronie www.viruslist.pl (na której zamieszczane są informacje o szkodliwym oprogramowaniu) został opublikowany 15 czerwca 2001 r. Ostrzeżenie dotyczyło TROJ_LATINUS.SVR, trojana z funkcjonalnością keyloggera. Od tego czasu stale pojawiały się nowe keyloggery i nowe modyfikacje. Baza sygnatur zagrożeń firmy Kaspersky Lab zawiera obecnie wpisy ponad 300 rodzin keyloggerów. Liczba ta nie uwzględnia keyloggerów, które wchodzą w skład zagrożeń złożonych (tj. takich, w których komponent szpiegujący posiada dodatkową funkcjonalność).
Większość współczesnych szkodliwych programów to hybrydy, które implementują wiele różnych technologii. Z tego względu wszystkie kategorie szkodliwych programów mogą zawierać programy z funkcjonalnością keyloggera.
Konstrukcja keyloggera
Celem keyloggerów jest "dostanie się" między dwa ogniwa w łańcuchu zdarzeń: wciśnięcie klawisza i wyświetlenie na monitorze informacji o uderzeniu klawisza. Można to osiągnąć poprzez obserwację za pomocą kamer wideo, sprzętową modyfikację w klawiaturze, okablowaniu czy samym komputerze, przechwycenie danych wejściowych/wyjściowych, zastąpienie sterownika klawiatury, sterownika filtra w stosie klawiatury, przechwycenie funkcji jądra na różne możliwe sposoby (zastępowanie adresów w tabelach systemowych itd.), przechwycenie funkcji DLL w trybie użytkownika oraz żądanie informacji z klawiatury przy użyciu standardowych i udokumentowanych metod.
Doświadczenie pokazuje, że im bardziej złożone podejście, tym mniejsze prawdopodobieństwo, że zostanie ono zastosowane w powszechnych programach trojańskich. Bardziej prawdopodobne jest natomiast zastosowanie takiego podejścia w specjalnie zaprojektowanych trojanach, przeznaczonych do kradzieży danych finansowych z określonej firmy.
Keyloggery można podzielić na dwie kategorie: keyloggery sprzętowe i programowe. Pierwsza kategoria obejmuje zwykle niewielkie urządzenia, które można przymocować do klawiatury lub umieścić w kablu lub samym komputerze. Do drugiej kategorii zaliczają się wyspecjalizowane programy przeznaczone do śledzenia i rejestrowania uderzeń klawiszy.
Przeczytaj także:
Hakerzy a portale społecznościowe

oprac. : Aleksander Walczak / eGospodarka.pl
Więcej na ten temat:
keyloggers, keyloggery, kradzież danych, spyware, trojany, phishing, ataki typu phishing