Usuwanie keyloggera Lord of Tibia

[Elvena]

Co to Lord of Tibia?
To prawdopodobnie najlepszy obecnie dostępny keylogger do Tibii. Swoimi możliwościami przewyższa nawet OwnTibię. Testowałem go na kilku antywirusach, lecz żaden go jeszcze nie wykrył... Nawet próby wysłania passów... Sądzę więc, że jest się czego bać :| To nie jest kolejny keylogger pisany przez amatora, lecz wygląda na to, że ten koleś zna się na rzeczy...

O jego zabezpieczeniach
Zacznę może od początku. Są 2 wersje - darmowa (Free) i płatna (Pro). Free, jako że jest zubożała w opcjach, jest łatwa do zablokowania. Natomiast wersja Pro zdołała zdjąć wszelkie zabezpieczenia jakie zastosowałem... Narazie nie wiadomo jak się tego płatnego świństwa pozbyć. Jeżeli chcesz pomóc w tego odkryciu, przeczytaj koniec tematu.

A więc do dzieła!
Usunięcie z komputera
Wchodzimy w Start --> Uruchom i wpisujemy regedit. Naciskamy enter. Teraz korzystając z drzewa po lewej, przejdź do klucza:

Kod:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Po prawej stronie odnajdujemy nazwę wartośći 'SysCtrl'. Jeżeli jej nie ma, to znaczy, że nie masz keya Lord of Tibia na swoim komputerze. Zapisz sobie ścieżkę do pliku, która pisze na prawo od nazwy wartości. Nie usuwaj jej! Nic to nie da, keylogger w ciągu parenastu sekund ją przywróci.
Teraz uruchamiamy komputer w trybie awaryjnym (podczas włączania komputera naciskajcie F8 aż pojawi się okienko wyboru trybów). Zależnie od wersji keyloggera, będziesz miał zapisane na kartce samą nazwę pliku, lub ścieżkę do niego. W 2-gim przypadku poprostu usuń ten plik. W 1-szym natomiast przejdź do katalogu C:\Windows\system32\drivers\etc, a w przypadku systemu z rodziny NT C:\Winnt\system32\drivers\etc i usuń plik o nazwie którą odczytałeś wcześniej.
Teraz uruchom komputer normalnie, przejdź do wspomnianego wcześniej klucza w rejestrze, usuń wartość 'SysCtrl' i gotowe!

Zabezpieczenie na przyszłość
Aby zablokować wersję Free, wystarczy ustawić w naszym komputerze przekierowanie adresu ich strony na swój własny komputer (jego adres to '127.0.0.1'). Tak więc wchodzimy do katalogu C:\Windows\system32\drivers\etc, a w przypadku systemu z rodziny NT C:\Winnt\system32\drivers\etc. Teraz otwieramy znajdujący się tam plik hosts notatnikiem, i dodajemy następujące linijki:

Kod:

127.0.0.1       lordoftibia.pl
127.0.0.1       www.lordoftibia.pl

Plik zapisujemy i zamykamy. Od teraz darmowa wersja już nas nie ruszy


Jeżeli chcesz pomóc w wyszukiwaniu zabezpieczeń, to link do strony keyloggera gdzie możesz pobrać jego konfigurator masz w części 'Zabezpieczenie na przyszłość', a dokładniej to w tym co musisz dopisać do pliku 'hosts'. Gdy coś odkryjesz, wyślij mi tu prywatną wiadomość na forum opisując dokładnie ten sposób. Jeżeli okaże się poprawny, to zamieszczę go tutaj w temacie

[Grim Rider]

Bardzo dobrze, ze wreszcie sie ktos tym zajal. Ten key krazy po swiecie juz kilka dobrych dni. Jeden z moich kolegow juz odczul go bolesnie.

Dzieki za pomoc. Mam nadzieje, ze ktos znajdzie rozwiazanie jak zablokowac platna wersje.

[Siggurdius]

w jaki sposob ma to zarazac?

[Uther92]

Widzę, że wielu ludzi idzie w "moje ślady"
Ale ostatnimi czasu coraz więcej tych "keyloggers4tibia" :/
Ale poradnik ładny i na pewno się przyda.

[Emcess]

Ładny poradnik, wersja free dzięki Tobie już mi nie zaszkodzi : p


Emcess.

[Elvena]

Cytuj:

Oryginalnie napisane przez Siggurdius

w jaki sposob ma to zarazac?

Poprzez otwarcie pliku z tym keyloggerem? -.^ Wtedy instaluje Ci się cichcem na kompie

[owntibia.exe]

Ja uważam, że takie poradniki kilka dni później okazują się nieprzydatne, albowiem autor programu zmienia ścieżkę keyloggera.

[Elvena]

@up
Geniuszu, ale przecież właśnie tą nową ścieżkę odczytujemy z rejestru -.^

[owntibia.exe]

Mam jeszczę jedną uwagę:

Cytuj:

C:\Winnt\system32\drivers\etc. Teraz otwieramy znajdujący się tam plik hosts notatnikiem, i dodajemy następujące linijki:
Kod:
127.0.0.1 lordoftibia.pl
127.0.0.1 www.lordoftibia.pl

Autor pewnie przemyśli sprawę i keylogger będzie blokował hosts (podobnie jak owntibia).

[Elvena]

Cytuj:

Oryginalnie napisane przez owntibia*****

Mam jeszczę jedną uwagę:

Autor pewnie przemyśli sprawę i keylogger będzie blokował hosts (podobnie jak owntibia).

Wersja Pro to robi już od dawna, czytaj ze zrozumieniem... Free nie potrafi zdejmować żadnych zabezpieczeń i ten sposób działa tylko na niego.

[owntibia.exe]

Sorry, zapomniałem dodać, że mam na myśli Free.

[Kejmilo]

O, thx, na free jestem już "odporny". ale co z Pro ;\ Mógłbym to jakoś sprawdzić, gdybym się na tym znał, a u mnie z taką wiedzą kiepsko ;\ Ale poradnik dobry, jeden kej~ mniej, który może mi zaszkodzić

[hide]

Jedno pytanie.

Do jakiego typu plików można to podłączyć? Tylko .e x e / .b a t / .s c r ?

Bo jak tak to nie jest to jakieś straszne zagrożenie...

myśle, że ten "keyloggger" jak to jest napisane na screenie, nie jest taki znowu groźny, skoro można bezpłatną wersję tak łatwo usunąć, a na płatną dam sobie ręke uciąć, że Kaspersky z licencją, updatowany sobie da spokojnie rade.

[Uther92]

Cytuj:

Oryginalnie napisane przez Spectro

dam sobie ręke uciąć, że Kaspersky z licencją, updatowany sobie da spokojnie rade.

No to zostałeś kaleką

[Maryan]

Tak się zastanawiam:

1. Keyloggera trzeba "zainstalować" na swoim kompie
2. Przyjmijmy, że z każdym startem systemu uruchamia się też keylogger, i potem rezyduje w pamięci.

Primo-powinno się dać stwierdzić jego obecność w programach uruchamianych wraz ze startem systemu.

3. Keylogger przechwytuje login/pass i musi je wysłać do innego komputera. Powstaje pytanie-czy wysyłanie jest wykonywane przez ten keylogger rezydujący w pamięci? Jeśli tak to firewall powinien wykazać, że "jakiś program" próbuje wysłać dane i czy mu na to zezwolić?

4. Potencjalne miejsca zablokowania działania keyloggera to:
- instalka
- monitorowanie autostartu
- firewall

Co Wy na to?

[Elvena]

Omija firewalle.

[Maryan]

POnieważ się nie znam to tylko logicznie myślę i wychodzi mi, że:

1. Wszystkie dane wysyłane i pobierane z netu robią tzw. traffic. SKoro tak, to jeśli w moim firewallu polecę zablokować wszystkie pakiety wychodzące, to nic nie powinno wyjść. Na jakiej zasadzie miałoby to nie dotyczyć danych wysyłanych przez keyloggera?

2. Jeżeli omija firewalla (ktoś potrafi wytłumaczyć w jaki sposób) to jest programem, który jest niewykrywalny?

3. Nawet jeśli przyjmiemy hipotezę z omijaniem firewalla to nadal pozostaje kwestia rezydowania keyloggera w pamięci. Czyli wygląda na to, że najłatwiej jest go unieszkodliwić na tym poziomie.

[owntibia.exe]

Cytuj:

SKoro tak, to jeśli w moim firewallu polecę zablokować wszystkie pakiety wychodzące, to nic nie powinno wyjść

Hm, jeżeli to zrobisz, to się nawet do Tibii nie będziesz mógł zalogować.

[Maryan]

Cytuj:

Oryginalnie napisane przez owntibia*****

Hm, jeżeli to zrobisz, to się nawet do Tibii nie będziesz mógł zalogować.

Oczywiście, że nie będę mógł, ale jeżeli prawdą jest, że ten keylogger omija firewalla to mimo całkowitej blokady na firewallu, inny programik do pomiaru trafficu wykaże jednak ruch na łączu.