Trong số này, chúng tôi xin giới thiệu về một số chương trình keylogger thuộc hàng "bá đạo" nhất hiện nay để các bạn có cơ sở nhận diện và phòng ngừa... Keylogger “bá đạo” là những keylo
Trang 1Những keylogger “bá đạo”
Trong bài ra ngày 24-8, chúng tôi đã giới thiệu về một số keylogger
"chính đạo" Trong số này, chúng tôi xin giới thiệu về một số chương trình keylogger thuộc hàng "bá đạo" nhất hiện nay để các bạn có cơ sở nhận diện và phòng ngừa
Trang 2Keylogger “bá đạo” là những keylogger có những đặc điểm sau: hiếm khi
nào thể hiện tên của mình trong “Program Files”, không bao giờ đặt biểu
tượng hoạt động của mình ở khay đồng hồ, không bao giờ để lại sự có mặt
của mình trong thẻ “Applications” của “Windows Task Manager”, luôn luôn
có khả năng vận hành ở chế độ hoạt động ngầm, rất khó gỡ bỏ nếu không nhập đúng password và tổ hợp phím nóng… Sau đây là 7 chương trình keylogger bá đạo phổ biến hiện nay
1 007 Spy Software: Keylogger này chủ động dấu mình trong C:\Program
Filess\Common Files\Microsoft Shared\DAO; File thực thi có tên
svchost.exe; Sử dụng tổ hợp phím Ctrl+Alt+Shift+F7 để kích hoạt; Có khả
năng âm thầm gửi đi các thông tin mà nó ghi nhận được đến một địa chỉ e-mail hoặc máy chủ FTP; Nó “ma mãnh” đến nỗi lưu các file TXT ghi nhận hoạt động bàn phím cùng như file JPG chụp ảnh màn hình trong một thư
mục vô cùng “đặc biệt”, đó là C:\Recycled\WinLiveUpdate32\scrdata\, tức
nó dấu dữ liệu trong… thùng rác của máy tính
Trang 32 All-In-One Spy Keylogger: Có thư mục cài đặt mặc định là
C:\Some_undistinguished_folder\AIOSKL; File thực thi mang tên
ctfmon.exe; Tổ hợp phím nóng dùng để hiển thị mặc định là
Ctrl+Alt+Shift+U; Chụp ảnh màn hình theo dạng JPG, xuất các thông tin
ghi nhận hoạt động bàn phím ra dạng TXT và lưu trữ trong thư mục cài đặt
Trang 43 Ardamax Keylogger: Cài đặt mặc định trong thư mục C:\Program
Files\UIB; File thực thi mang tên UIB.exe; Các file chứa thông tin ăn cắp có
tên UIB.001, UIB.002… cho đến UIB.999 và nằm chung trong thư mục cài đặt; có khả năng ẩn mình rất tốt và sử dụng tổ hợp phím Ctrl+Alt+Shift+H
để hiển thị
Giao diện sử dụng chính của Ardamax
Keylogger
4 Eye Spy Pro: Cài đặt mặc định trong thư
mục C:\Program Files\ESP Demo; File thực thi
mang tên ESPDemo.exe; Sử dụng tổ hợp phím
nóng mặc định Ctrl+Shift+F5; Lưu ảnh chụp
màn hình theo dạng JPG hoặc BMP, lưu thông tin bàn phím dưới dạng file
LOG và các fil này được lưu trong thư mục mang tên “Projects” nằm trong
thư mục cài đặt; Có khả năng gửi thông tin bàn phím đến một địa chỉ e-mail
Theo dòi các bài khác:
Những keylogger “tà đạo” Những keylogger “chính đạo”
Trang 5hoặc một máy chủ FTP nào đó
5 Real Spy Monitor: Cài đặt mặc định trong thư mục C:\Program
Files\Real Spy Monitor; File thực thi mang tên winrsm.exe; Sử dụng phím
nóng Ctrl+Alt+S; Chụp ảnh màn hình dưới dạng file JPG, ghi nhận hoạt
động bàn phím dưới dạng file TXT và dấu tất cả trong thư mục mặc định là
C:\Windows\RSM; Có khả năng bí mật gửi các thông tin ghi nhận được về
một e-mail hay máy chủ FTP nào đó Chương trình được thiết kế hết sức quy
mô với giao diện ghi nhận hoạt động riêng dành cho từng kiểu ứng dụng vô cùng trực quan
Giao diện theo dõi vô cùng trực quan của Real Spy Monitor
6 Total Spy: thư mục cài dặt mặc định là C:\Program Files\TS Trial; File
thực thi mang tên ctfmon.exe; Tổ hợp phím nóng mặc định là
Ctrl+Alt+Shift+U; Chụp ảnh màn hình theo dạng JPG và xuất các thông tin
ghi nhận hoạt động bàn phím ra dạng TXT ; Lưu trữ các thông tin ghi nhận
Trang 6được trong các thư mục mang tên “daily_log_files” và "daily_visited_urls”
nằm trong thư mục cài đặt
7 XT Spy: Keylogger này rất ranh ma khi thông báo cho người cài đặt rằng
nó sẽ cài chương trình vào thư mục C:\Program Files\XTS, nhưng thực ra nó lại âm thầm cài đặt nó vào thư mục “Xfigsys” nằm trên ổ đĩa C; File thực thi
của nó là xfigsys.exe; Lưu trữ các file JPG chụp ảnh màn hình và TXT ghi
nhận hoạt động bàn phím trong các thư mục con ở sâu trong thư mục
“Xfigsyslg” cũng nằm trong thư mục cài đặt Ban đầu có thể xếp Keylogger này vào dạng chính đạo vì nó thể hiện mình rõ ràng trong thẻ “Applications” của “Windows Task Manager” nhưng sau khi đăng nhập vào chương trình bằng password thì nó vô hiệu hóa ngay lập tức đường vào “Windows Task Manager” để mọi người không thể phát hiện ra nó
hfghfghfghfghfghfgg