Keyloggery - jak działają i jak można je wykryć

Przeczytaj także: Kaspersky: ataki internetowe na firmy

Jak wynika z jednego z najnowszych raportów VeriSign, w ostatnich latach firma odnotowała szybki wzrost liczby szkodliwych programów z funkcjonalnością keyloggera. Jeden z raportów firmy Symantec pokazuje, że prawie 50% szkodliwych programów wykrytych przez analityków firmy w ciągu minionego roku nie stanowiło bezpośredniego zagrożenia dla komputerów - cyberprzestępcy wykorzystywali je wyłącznie do zbierania osobistych informacji użytkownika.

Według badania przeprowadzonego przez Johna Bambeneka, analityka SANS Institute, tylko w Stanach Zjednoczonych 10 milionów komputerów zainfekowanych jest szkodliwym programem z funkcjonalnością keyloggera. Na podstawie tych danych, jak również liczby amerykańskich użytkowników systemów płatności online, potencjalne straty zostały oszacowane na 24,3 milionów dolarów.

Kaspersky Lab nieustannie wykrywa nowe szkodliwe programy z funkcjonalnością keyloggera. Jeden z pierwszych alertów wirusowych na stronie www.viruslist.pl (na której zamieszczane są informacje o szkodliwym oprogramowaniu) został opublikowany 15 czerwca 2001 r. Ostrzeżenie dotyczyło TROJ_LATINUS.SVR, trojana z funkcjonalnością keyloggera. Od tego czasu stale pojawiały się nowe keyloggery i nowe modyfikacje. Baza sygnatur zagrożeń firmy Kaspersky Lab zawiera obecnie wpisy ponad 300 rodzin keyloggerów. Liczba ta nie uwzględnia keyloggerów, które wchodzą w skład zagrożeń złożonych (tj. takich, w których komponent szpiegujący posiada dodatkową funkcjonalność).

Większość współczesnych szkodliwych programów to hybrydy, które implementują wiele różnych technologii. Z tego względu wszystkie kategorie szkodliwych programów mogą zawierać programy z funkcjonalnością keyloggera.

Konstrukcja keyloggera

Celem keyloggerów jest "dostanie się" między dwa ogniwa w łańcuchu zdarzeń: wciśnięcie klawisza i wyświetlenie na monitorze informacji o uderzeniu klawisza. Można to osiągnąć poprzez obserwację za pomocą kamer wideo, sprzętową modyfikację w klawiaturze, okablowaniu czy samym komputerze, przechwycenie danych wejściowych/wyjściowych, zastąpienie sterownika klawiatury, sterownika filtra w stosie klawiatury, przechwycenie funkcji jądra na różne możliwe sposoby (zastępowanie adresów w tabelach systemowych itd.), przechwycenie funkcji DLL w trybie użytkownika oraz żądanie informacji z klawiatury przy użyciu standardowych i udokumentowanych metod.

Doświadczenie pokazuje, że im bardziej złożone podejście, tym mniejsze prawdopodobieństwo, że zostanie ono zastosowane w powszechnych programach trojańskich. Bardziej prawdopodobne jest natomiast zastosowanie takiego podejścia w specjalnie zaprojektowanych trojanach, przeznaczonych do kradzieży danych finansowych z określonej firmy.

Keyloggery można podzielić na dwie kategorie: keyloggery sprzętowe i programowe. Pierwsza kategoria obejmuje zwykle niewielkie urządzenia, które można przymocować do klawiatury lub umieścić w kablu lub samym komputerze. Do drugiej kategorii zaliczają się wyspecjalizowane programy przeznaczone do śledzenia i rejestrowania uderzeń klawiszy.