Adoxed
29-11-2007, 20:30
Co to Lord of Tibia?
To prawdopodobnie najlepszy obecnie dostępny keylogger do Tibii. Swoimi możliwościami przewyższa nawet OwnTibię. Testowałem go na kilku antywirusach, lecz żaden go jeszcze nie wykrył... Nawet próby wysłania passów... Sądzę więc, że jest się czego bać :| To nie jest kolejny keylogger pisany przez amatora, lecz wygląda na to, że ten koleś zna się na rzeczy...
O jego zabezpieczeniach
Zacznę może od początku. Są 2 wersje - darmowa (Free) i płatna (Pro). Free, jako że jest zubożała w opcjach, jest łatwa do zablokowania. Natomiast wersja Pro zdołała zdjąć wszelkie zabezpieczenia jakie zastosowałem... Narazie nie wiadomo jak się tego płatnego świństwa pozbyć. Jeżeli chcesz pomóc w tego odkryciu, przeczytaj koniec tematu.
A więc do dzieła!
Usunięcie z komputera
Wchodzimy w Start --> Uruchom i wpisujemy regedit. Naciskamy enter. Teraz korzystając z drzewa po lewej, przejdź do klucza:
Kod:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run Po prawej stronie odnajdujemy nazwę wartośći 'SysCtrl'. Jeżeli jej nie ma, to znaczy, że nie masz keya Lord of Tibia na swoim komputerze. Zapisz sobie ścieżkę do pliku, która pisze na prawo od nazwy wartości. Nie usuwaj jej! Nic to nie da, keylogger w ciągu parenastu sekund ją przywróci.
Teraz uruchamiamy komputer w trybie awaryjnym (podczas włączania komputera naciskajcie F8 aż pojawi się okienko wyboru trybów). Zależnie od wersji keyloggera, będziesz miał zapisane na kartce samą nazwę pliku, lub ścieżkę do niego. W 2-gim przypadku poprostu usuń ten plik. W 1-szym natomiast przejdź do katalogu C:\Windows\system32\drivers\etc, a w przypadku systemu z rodziny NT C:\Winnt\system32\drivers\etc i usuń plik o nazwie którą odczytałeś wcześniej.
Teraz uruchom komputer normalnie, przejdź do wspomnianego wcześniej klucza w rejestrze, usuń wartość 'SysCtrl' i gotowe!
Zabezpieczenie na przyszłość
Aby zablokować wersję Free, wystarczy ustawić w naszym komputerze przekierowanie adresu ich strony na swój własny komputer (jego adres to '127.0.0.1'). Tak więc wchodzimy do katalogu C:\Windows\system32\drivers\etc, a w przypadku systemu z rodziny NT C:\Winnt\system32\drivers\etc. Teraz otwieramy znajdujący się tam plik hosts notatnikiem, i dodajemy następujące linijki:
Kod:
127.0.0.1 lordoftibia.pl
127.0.0.1 www.lordoftibia.pl
Plik zapisujemy i zamykamy. Od teraz darmowa wersja już nas nie ruszy :)
Pytania:
A: W jaki sposob ma to zarazac?
B:Poprzez otwarcie pliku z tym keyloggerem, wtedy instaluje Ci się cichcem na kompie.
A: A co zrobic gdy autor programu zmieni ścieżkę keyloggera?
B: Przecież właśnie tą nową ścieżkę odczytujemy z rejestru.
A: Keylogger przechwytuje login/pass i musi je wysłać do innego komputera. Powstaje pytanie-czy wysyłanie jest wykonywane przez ten keylogger rezydujący w pamięci? Jeśli tak to firewall powinien wykazać, że "jakiś program" próbuje wysłać dane i czy mu na to zezwolić?
B: Odpowiedz jest prosta keylogger omija firewalle.
Jest to porsty i skuteczny na zabezpieczenie sie przed tym keyem :)
Pozdrawiam:)
To prawdopodobnie najlepszy obecnie dostępny keylogger do Tibii. Swoimi możliwościami przewyższa nawet OwnTibię. Testowałem go na kilku antywirusach, lecz żaden go jeszcze nie wykrył... Nawet próby wysłania passów... Sądzę więc, że jest się czego bać :| To nie jest kolejny keylogger pisany przez amatora, lecz wygląda na to, że ten koleś zna się na rzeczy...
O jego zabezpieczeniach
Zacznę może od początku. Są 2 wersje - darmowa (Free) i płatna (Pro). Free, jako że jest zubożała w opcjach, jest łatwa do zablokowania. Natomiast wersja Pro zdołała zdjąć wszelkie zabezpieczenia jakie zastosowałem... Narazie nie wiadomo jak się tego płatnego świństwa pozbyć. Jeżeli chcesz pomóc w tego odkryciu, przeczytaj koniec tematu.
A więc do dzieła!
Usunięcie z komputera
Wchodzimy w Start --> Uruchom i wpisujemy regedit. Naciskamy enter. Teraz korzystając z drzewa po lewej, przejdź do klucza:
Kod:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run Po prawej stronie odnajdujemy nazwę wartośći 'SysCtrl'. Jeżeli jej nie ma, to znaczy, że nie masz keya Lord of Tibia na swoim komputerze. Zapisz sobie ścieżkę do pliku, która pisze na prawo od nazwy wartości. Nie usuwaj jej! Nic to nie da, keylogger w ciągu parenastu sekund ją przywróci.
Teraz uruchamiamy komputer w trybie awaryjnym (podczas włączania komputera naciskajcie F8 aż pojawi się okienko wyboru trybów). Zależnie od wersji keyloggera, będziesz miał zapisane na kartce samą nazwę pliku, lub ścieżkę do niego. W 2-gim przypadku poprostu usuń ten plik. W 1-szym natomiast przejdź do katalogu C:\Windows\system32\drivers\etc, a w przypadku systemu z rodziny NT C:\Winnt\system32\drivers\etc i usuń plik o nazwie którą odczytałeś wcześniej.
Teraz uruchom komputer normalnie, przejdź do wspomnianego wcześniej klucza w rejestrze, usuń wartość 'SysCtrl' i gotowe!
Zabezpieczenie na przyszłość
Aby zablokować wersję Free, wystarczy ustawić w naszym komputerze przekierowanie adresu ich strony na swój własny komputer (jego adres to '127.0.0.1'). Tak więc wchodzimy do katalogu C:\Windows\system32\drivers\etc, a w przypadku systemu z rodziny NT C:\Winnt\system32\drivers\etc. Teraz otwieramy znajdujący się tam plik hosts notatnikiem, i dodajemy następujące linijki:
Kod:
127.0.0.1 lordoftibia.pl
127.0.0.1 www.lordoftibia.pl
Plik zapisujemy i zamykamy. Od teraz darmowa wersja już nas nie ruszy :)
Pytania:
A: W jaki sposob ma to zarazac?
B:Poprzez otwarcie pliku z tym keyloggerem, wtedy instaluje Ci się cichcem na kompie.
A: A co zrobic gdy autor programu zmieni ścieżkę keyloggera?
B: Przecież właśnie tą nową ścieżkę odczytujemy z rejestru.
A: Keylogger przechwytuje login/pass i musi je wysłać do innego komputera. Powstaje pytanie-czy wysyłanie jest wykonywane przez ten keylogger rezydujący w pamięci? Jeśli tak to firewall powinien wykazać, że "jakiś program" próbuje wysłać dane i czy mu na to zezwolić?
B: Odpowiedz jest prosta keylogger omija firewalle.
Jest to porsty i skuteczny na zabezpieczenie sie przed tym keyem :)
Pozdrawiam:)