Como posso determinar se um arquivo ou executável possui um keylogger incluído?

9

Eu tive um programa criado para mim recentemente e realmente não pensei nisso sendo executável, representando uma ameaça, já que confio muito na fonte, mas não completamente.

Eu então pensei no fato de que um keylogger, ou qualquer tipo de spyware ou software malicioso poderia ter sido vinculado a ele. Isso me fez pensar sobre todas as outras coisas que eu baixo diariamente de lugares ou pessoas (torrents) que eu não penso duas vezes.

  • Como alguém pode descobrir se houve algum tipo de keylogger vinculado ao software que você está executando ou outras coisas ligadas?

  • Quais são algumas boas maneiras de descobrir e parar essas coisas?

por ᔕᖺᘎᕊ 06.05.2010 / 03:59

2 respostas

4

Algumas maneiras,

  1. Detecção baseada em assinatura .
    Um pacote anti-vírus bom e atualizado (sim, eu sei que "bom" será debatido)
    ajudará a rastrear a maioria dos malwares antes de começar a interagir com seu sistema
  2. Detecção baseada em anomalia .
    Uma faixa de comunicação de saída de aplicativos individuais
    (isso também é feito pela maioria dos softwares AV / AS)
    ajudará a identificar inesperados 'chamados-mãe' de aplicativos.
    Note que não quero dizer análise de comunicação. Quero dizer, tentativas de comunicação são aplicações que não se espera que façam isso (digamos, aplicativos de editor, por exemplo). A análise da comunicação (digamos, de um aplicativo de bate-papo que você baixou) também pode ser feita, mas seria um problema bastante complexo.

Vou citar um exemplo pessoal de um bom caso de detecção de malware.
Um dos conjuntos AV / AS padrão em uma das minhas máquinas Windows estava ativo quando, Eu tentei abrir um arquivo HTML 'sample' (e malware) de um dos nossos servidores de trabalho.
Ele foi imediatamente pego pela suíte.
Então, eu tentei uma busca Cygwin scp do mesmo arquivo HTML agora renomeado como TXT no servidor.
O conjunto não deixou o scp no meu disco host. Ele foi excluído assim que foi buscado.
A detecção foi baseada em assinaturas atualizadas recentemente para um novo 'ataque baseado em script'.

    
por 06.05.2010 / 05:07
1

Você pode fazer o upload do arquivo executável para o VirusTotal.com. O VirusTotal analisará o arquivo usando cerca de 40 mecanismos diferentes.

Alguns softwares de firewall o informam quando um aplicativo tenta fazer contato externo e lhe dá a oportunidade de negar a solicitação. O ZoneAlarm é gratuito e possui esse recurso. Eles tornam um pouco difícil encontrar a versão gratuita em seu site, mas você pode encontrar rapidamente a versão gratuita no Download.com.

    
por 06.05.2010 / 14:41