Usuwanie keyloggera Lord of Tibia
 

Co to Lord of Tibia?
To prawdopodobnie najlepszy obecnie dostępny keylogger do Tibii. Swoimi możliwościami przewyższa nawet OwnTibię. Testowałem go na kilku antywirusach, lecz żaden go jeszcze nie wykrył... Nawet próby wysłania passów... Sądzę więc, że jest się czego bać :| To nie jest kolejny keylogger pisany przez amatora, lecz wygląda na to, że ten koleś zna się na rzeczy...

O jego zabezpieczeniach
Zacznę może od początku. Są 2 wersje - darmowa (Free) i płatna (Pro). Free, jako że jest zubożała w opcjach, jest łatwa do zablokowania. Natomiast wersja Pro zdołała zdjąć wszelkie zabezpieczenia jakie zastosowałem... Narazie nie wiadomo jak się tego płatnego świństwa pozbyć. Jeżeli chcesz pomóc w tego odkryciu, przeczytaj koniec tematu.

A więc do dzieła!
Usunięcie z komputera
Wchodzimy w Start --> Uruchom i wpisujemy regedit. Naciskamy enter. Teraz korzystając z drzewa po lewej, przejdź do klucza:
Po prawej stronie odnajdujemy nazwę wartośći 'SysCtrl'. Jeżeli jej nie ma, to znaczy, że nie masz keya Lord of Tibia na swoim komputerze. Zapisz sobie ścieżkę do pliku, która pisze na prawo od nazwy wartości. Nie usuwaj jej! Nic to nie da, keylogger w ciągu parenastu sekund ją przywróci.
Teraz uruchamiamy komputer w trybie awaryjnym (podczas włączania komputera naciskajcie F8 aż pojawi się okienko wyboru trybów). Zależnie od wersji keyloggera, będziesz miał zapisane na kartce samą nazwę pliku, lub ścieżkę do niego. W 2-gim przypadku poprostu usuń ten plik. W 1-szym natomiast przejdź do katalogu C:\Windows\system32\drivers\etc, a w przypadku systemu z rodziny NT C:\Winnt\system32\drivers\etc i usuń plik o nazwie którą odczytałeś wcześniej.
Teraz uruchom komputer normalnie, przejdź do wspomnianego wcześniej klucza w rejestrze, usuń wartość 'SysCtrl' i gotowe!

Zabezpieczenie na przyszłość
Aby zablokować wersję Free, wystarczy ustawić w naszym komputerze przekierowanie adresu ich strony na swój własny komputer (jego adres to '127.0.0.1'). Tak więc wchodzimy do katalogu C:\Windows\system32\drivers\etc, a w przypadku systemu z rodziny NT C:\Winnt\system32\drivers\etc. Teraz otwieramy znajdujący się tam plik hosts notatnikiem, i dodajemy następujące linijki:
Plik zapisujemy i zamykamy. Od teraz darmowa wersja już nas nie ruszy :)


Jeżeli chcesz pomóc w wyszukiwaniu zabezpieczeń, to link do strony keyloggera gdzie możesz pobrać jego konfigurator masz w części 'Zabezpieczenie na przyszłość', a dokładniej to w tym co musisz dopisać do pliku 'hosts'. Gdy coś odkryjesz, wyślij mi tu prywatną wiadomość na forum opisując dokładnie ten sposób. Jeżeli okaże się poprawny, to zamieszczę go tutaj w temacie

Bardzo dobrze, ze wreszcie sie ktos tym zajal. Ten key krazy po swiecie juz kilka dobrych dni. Jeden z moich kolegow juz odczul go bolesnie.

Dzieki za pomoc. Mam nadzieje, ze ktos znajdzie rozwiazanie jak zablokowac platna wersje.

w jaki sposob ma to zarazac?

Widzę, że wielu ludzi idzie w "moje ślady" :P
Ale ostatnimi czasu coraz więcej tych "keyloggers4tibia" :/
Ale poradnik ładny i na pewno się przyda.

Ładny poradnik, wersja free dzięki Tobie już mi nie zaszkodzi : p


Emcess.

Poprzez otwarcie pliku z tym keyloggerem? -.^ Wtedy instaluje Ci się cichcem na kompie

Ja uważam, że takie poradniki kilka dni później okazują się nieprzydatne, albowiem autor programu zmienia ścieżkę keyloggera.

@up
Geniuszu, ale przecież właśnie tą nową ścieżkę odczytujemy z rejestru -.^

Mam jeszczę jedną uwagę:
Autor pewnie przemyśli sprawę i keylogger będzie blokował hosts (podobnie jak owntibia).

Wersja Pro to robi już od dawna, czytaj ze zrozumieniem... Free nie potrafi zdejmować żadnych zabezpieczeń i ten sposób działa tylko na niego.

Sorry, zapomniałem dodać, że mam na myśli Free.

O, thx, na free jestem już "odporny". ale co z Pro ;\ Mógłbym to jakoś sprawdzić, gdybym się na tym znał, a u mnie z taką wiedzą kiepsko ;\ Ale poradnik dobry, jeden kej~ mniej, który może mi zaszkodzić :P

Jedno pytanie.

Do jakiego typu plików można to podłączyć? Tylko .e x e / .b a t / .s c r ?

Bo jak tak to nie jest to jakieś straszne zagrożenie...

myśle, że ten "keyloggger" jak to jest napisane na screenie, nie jest taki znowu groźny, skoro można bezpłatną wersję tak łatwo usunąć, a na płatną dam sobie ręke uciąć, że Kaspersky z licencją, updatowany sobie da spokojnie rade.

No to zostałeś kaleką :P

Tak się zastanawiam:

1. Keyloggera trzeba "zainstalować" na swoim kompie
2. Przyjmijmy, że z każdym startem systemu uruchamia się też keylogger, i potem rezyduje w pamięci.

Primo-powinno się dać stwierdzić jego obecność w programach uruchamianych wraz ze startem systemu.

3. Keylogger przechwytuje login/pass i musi je wysłać do innego komputera. Powstaje pytanie-czy wysyłanie jest wykonywane przez ten keylogger rezydujący w pamięci? Jeśli tak to firewall powinien wykazać, że "jakiś program" próbuje wysłać dane i czy mu na to zezwolić?

4. Potencjalne miejsca zablokowania działania keyloggera to:
- instalka
- monitorowanie autostartu
- firewall

Co Wy na to?

Omija firewalle.

POnieważ się nie znam to tylko logicznie myślę i wychodzi mi, że:

1. Wszystkie dane wysyłane i pobierane z netu robią tzw. traffic. SKoro tak, to jeśli w moim firewallu polecę zablokować wszystkie pakiety wychodzące, to nic nie powinno wyjść. Na jakiej zasadzie miałoby to nie dotyczyć danych wysyłanych przez keyloggera?

2. Jeżeli omija firewalla (ktoś potrafi wytłumaczyć w jaki sposób) to jest programem, który jest niewykrywalny?

3. Nawet jeśli przyjmiemy hipotezę z omijaniem firewalla to nadal pozostaje kwestia rezydowania keyloggera w pamięci. Czyli wygląda na to, że najłatwiej jest go unieszkodliwić na tym poziomie.

Hm, jeżeli to zrobisz, to się nawet do Tibii nie będziesz mógł zalogować.

Oczywiście, że nie będę mógł, ale jeżeli prawdą jest, że ten keylogger omija firewalla to mimo całkowitej blokady na firewallu, inny programik do pomiaru trafficu wykaże jednak ruch na łączu.

Nie tyle omija, co nie łączy się samodzielnie z internetem, ale wykorzystuje do tego internet explorera/eksploratora windows.
Po prostu każe się połączyć z http://www.hackmeplx.pl/dodaj.php?lo...chwycone_hasło
Czy tam jeszcze kilka innych zmiennych. Dzięki temu nie jest wykrywany przez firewalle jako program łączący się z zewnętrznym serverem. Oczywiście, jeżeli mamy zablokowane programy iexplorer****** i explorer******* w firewallu w teorii nie nie powinno przejść. Tak w teorii, nie testowałem tego;)


*Używanie internet eksplorera to szukanie guza
** od czasów win98 i IE 5.0, programy IE i eksplorator windows są zintegrowane-przy pomocy eksploratora można przeglądać strony www, korzystając z silnika IE.

Edit
Przenoszę do poradników.

Edit 2:
oczywiście można jeszcze dopisać hackmeplx.pl do hosts, jak to elvena pisze. Skuteczniejsze dopóki keylog nie wykazuje tamtych wpisów.. Chodź na winxp, jeżeli nie siedzimy na koncie root, tylko na zwykłym userze, nie powinien mieć do tego uprawnień.

Dopisywanie do pliku hosts nie ma dużego sensu, bo posłużył się tą metodą owntibia deleter z torga i owntibia nauczyła się takie wpisy usuwać.

Dwimenor masz w 100% rację. "Keyloggery" typu owntibia i podobne "omijają" firewalla w ten sposób, że korzystają z Internet Explorera, którego zwykle każdy firewall przepuszcza.

Oczywiście możemy to wykorzystać w celu zablokowania owntibii:
1. Upewniamy się, że mamy zainstalowanego Firefoxa lub Operę.
2. Znajdujemy plik c:\program files\internet explorer\iexplore. exe i USUWAMY.
3. Gotowe. Owntibia nie ma jak się skomunikować z serwerem i nie jesteśmy hackowani. Oczywiście dopóki Wizzard nie zrobi update.

Testowane dzisiaj na (chyba stosunkowo świeżej wersji) owntibii vip.

Edit: Oj, właśnie zauważyłem, że to zły temat. Sposób z usunięciem iexplore. exe działa na owntibię i tibiastealera. Na temat lord of tibia nie mam żadnych informacji, a nie chce mi się zakładać u nich konta. Prośba, czy ktoś może tego lord of tibia wystawić np. na rapidshare?

CZYLI IKONKE TEGO CALEGO IEXPLORERA WYWALAMY??

@up
Tak :P Właśnie przed chwilką usunąłem ten plik prowadzący do dupnego programu. Osobiście używam firefoxa i nie zamierzam nic zmieniać

btw IE SUX!!!!

@edit
@2 up
Dziwne, jak usuwam ten plik to sam się odnawia, lol. Zna ktoś program do CAŁKOWTEGO usuwania IE z kompa?

Oczywiście, że się odnawia. To jeden z ważniejszych plików w Windowsie. A ponieważ Eksplorator Windows korzysta z tego samego silnika co IE, to tego drugiego nie da się tak po prostu usunąć. Jest zbyt mocno zintegrowany z samym systemem.

Problem z tym, że wywalenie IE z systemu nie jest takie proste. Przy instalacji win98 można wybrać(wow, Microsoft daje wybór!), czy IE ma być zainstalowany. Nie wiem jak w winxp. Po instalacji: niby są metody(dla googla: "usuwanie IE z systemu" i podobne), ale z tego co czytałem to masa grzebania w rejestrze.
Drugi problem: IE jest bardzo zintegrowany z systemem i wywalenie powoduje utracenie stabilności. Ponadto wiele programów działa przy pomocy tej przeglądarki. Płytki z różnych czasopism(Komputer Świat), niektóre antywirusy/firewalle(kiedyś Zone Alarm nie chciał się zainstalować bez IE 6.0, nie wiem jak teraz), komunikatory(tlen, konnect,gg), pomoc systemowa, ActiveDesktop i cała masa innych programów
W gruncie rzeczy, można zablokować IE w firewallu. Powinno wystarczyć.

Lord of tibia działa dokładnie w ten sam sposób jak owntibia.

Mam pytanie, wiem że nie ten temat...
Czy obrazek ***** jest exploitem
Bo koleś prosi aby mu zamienić obrazek z ***** na .jpg
Obrazek usiłuje wysłać przez gg, a zdawało mi się, że filmiki ***** to keyloggery więc pomyślałem że ten SS też jest keyloggerem...

Co do odnawiającego się pliku: tego nie przewidziałem, u mnie funkcja Windows File Protection (przywracanie plików systemowych) jest wyłączona. Teoretycznie można z nią walczyć: najpierw usunąć plik c:\windows\system32\dllcache\iexplore. exe a dopiero potem c:\program files\internet explorer\iexplore. exe. Teraz już zombie IE nie powinien powracać zza grobu. Ale to raczej zbyt dużo kłopotu (dostęp do dllcache chyba zwykle też jest jakoś zablokowany).

Co do ważności Explorera: fakt, IE i Explorator (w ogóle cały interfejs Windowsa) korzystają z tego samego silnika, więc nie da się go tak łatwo usunąć. Ale nie to nas interesuje, tylko sam plik iexplore. exe który jest jakby tylko "launcherem" i sam w sobie tego enginu nie zawiera. U mnie plik ten ma ok ~94 kB, u was może być trochę więcej lub mniej w zależności od wersji Windows i service packów. W tak małym pliku nie zmieści się pełna przeglądarka internetowa, on ją tylko odpala. Można byłoby go wyrzucić bez szkody dla systemu. Niestety Dwimenor twierdzi że ten pliczek jest na tyle istotny, że antywirusy itp. odmawiają posłuszeństwa. No cóż :-/

O właśnie. Proste i skuteczne.

Rozszerzenie scr? Na pewno keylogger. Ponadto podawanie byle komu numeru gg też nie jest bezpieczne.

A testował ktoś jak te key radzą sobie z routerem?
Na kumplu przetestowane, że proste key router nie wypuszcza...
I jeszcze taka rzecz - jeśli miałbym na kompie 2 systemy i np. w tibie grał na linuksie to raczej jest 100% bezpieczeństwa?

Jeżeli złapiesz keylogga na windowsie, to nie będzie działał na drugim OS. Zresztą: wszystkie owntibie i inne działają wyłącznie na systamach firmy Microsoft(i też nie wszystkich)

ten poradnik to bardzo dobra reklama tego keyloggera ;)

@Do pana Grim Rider

http://i17.tinypic.com/6bdex3d.jpg
Hmmm...

@up
pwn3d xD

Bardzo dobry dzieki :)

słuchaj kolo nie pobieram takich syfów btw fajny sposób na ludzi ...

Ale ja odkryłem lepszy i nie wykyje go nikt ale nie używam tylko kupli z klasy
:P

FUCK SEX CUM
Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus Moraxus
Moraxus Moraxus
Moraxus Moraxus
Moraxus Moraxus
Moraxus Moraxus
Moraxus Moraxus

Kurwa z keyloggerami. Niedługo będę się bał otworzyć plik lodówka. e x e w rl :p

Bardzo dobry poradnik, proszę tylko o poprawienie:
na "która jest napisana" :)

To teraz ja walne pytanie : a co jeżeli "regedit'em" wykryje keyloggera, ale jak go próbuje znaleźć w ścieżce którą mi pokazał to go nie ma?

@Edit:
Jednak sobie jakoś poradziłem xd

Ok. teraz ja mam pytanie. Co w przypadku, jesli przed przeczytaniem poradnika usunalem plik sys34.e.xe recznie (bez trybu awaryjnego)? Teraz usunalem sysctrl z regedit no i jak narazie nie pojawia sie tam znowu. Moge sie bezpiecznie logowac? czy key sie zagniezdzil pod jakims innym adresem? Jak go ewentualnie znalesc?