Como posso determinar se um arquivo ou executável possui um keylogger incluído?


9

Recentemente, criei um programa para mim e realmente não pensei que ele fosse executável como uma ameaça, já que confio na fonte, mas não completamente.

Depois pensei no fato de que um keylogger ou qualquer tipo de spyware ou software malicioso poderia estar ligado a ele. Isso me fez pensar em todas as outras coisas que eu baixa diariamente de lugares ou pessoas (torrents) nas quais não penso duas vezes.

  • Como alguém pode descobrir se houve algum tipo de keylogger vinculado ao software que você está executando ou outras coisas vinculadas?

  • Quais são algumas boas maneiras de descobrir e impedir essas coisas?

Respostas:


4

Algumas maneiras,

  1. Detecção baseada em assinatura .
    Um conjunto antivírus bom e atualizado (sim, eu sei que 'bom' será debatido)
    ajudará a rastrear a maior parte do malware antes que ele comece a se envolver com seu sistema
  2. Detecção baseada em anomalias .
    Uma faixa de comunicação de saída de aplicativos individuais
    (isso também é feito pela maioria dos softwares AV / AS)
    ajudará a identificar 'chamadas-mãe' inesperadas de aplicativos.
    Note que eu não quero dizer análise de comunicação. Quero dizer que as tentativas de comunicação são aplicativos que não se espera que façam isso (por exemplo, aplicativos de editor). A análise da comunicação (digamos, de um aplicativo de bate-papo que você baixou) também pode ser feita, mas seria um problema bastante complexo.

Vou citar um exemplo pessoal de um bom caso de detecção de malware.
Uma das suítes AV / AS padrão em uma máquina Windows estava ativa quando,
tentei abrir um arquivo HTML de 'amostra' (com script de malware) de um de nossos servidores de trabalho.
Foi imediatamente pego pela suíte.
Então, tentei uma scpbusca Cygwin do mesmo arquivo HTML agora renomeado como TXT no servidor.
A suíte não deixou o scpterreno em meu disco host. Foi excluído assim que foi buscado.
A detecção foi baseada em assinaturas atualizadas recentemente para um novo 'ataque baseado em script'.


1

Você pode carregar o arquivo executável no VirusTotal.com. O VirusTotal analisará o arquivo usando cerca de 40 mecanismos diferentes.

Alguns softwares de firewall informam quando um aplicativo tenta fazer contato externo e oferecem a oportunidade de negar a solicitação. O ZoneAlarm é gratuito e possui esse recurso. Eles tornam um pouco difícil encontrar a versão gratuita em seu site, mas você pode encontrar rapidamente a versão gratuita em Download.com.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.