Keyloggery są jednym z bardziej szkodliwych programów, które mogą trafić na nasz komputer. Monitorują one naszą klawiaturę i na bieżąco rejestrują wszystkie przyciski, które wciskamy. Dane te są następnie wysyłane do osoby, która nam podrzuciła keyloggera, w celu wykradnięcia danych dostępowych do stron.
Wykradanie danych za pomocą keyloggerów jest bardzo popularne nie tylko w kontekście dostępu do loginów bankowych, ale także w świecie gier online. Keyloggery są przyczyną utraty kont do gier przez wielu graczy. Jak z nimi zatem walczyć poza zainstalowaniem programów antywirusowych?
Keyloggery mają jedną wadę - aby stale monitorować naszą klawiaturę muszą stale działać w tle. Oznacza to, że na naszym komputerze jest ciągle uruchomiony jakiś proces bądź usługa, która jest połączona z obcym adresem IP i na bieżąco wysyła wszystkie dane z naszego komputera. Mając to na uwadze możemy skorzystać z dość prostej metody, która umożliwi nam wykrycie działającego w komputerze keyloggera.
Do wykrycia keyloggera użyjemy wiersza polecenia w systemach Windows. Otwieramy zatem menu Start, a następnie w polu wyszukiwania wpisujemy “cmd” (bez cudzysłowów) i potwierdzamy klawiszem [Enter].
W nowym oknie wiersza polecenia możemy wydać odpowiednią komendę, która wyświetli nam listę wszystkich aktywnych połączeń w naszym komputerze. Wpisujemy w tym celu następujące polecenie: “netstat -ano” (bez cudzysłowów) i potwierdzamy “enterem”.
Wyświetlona zostanie teraz lista wszystkich aktywnych połączeń w komputerze. Przy każdym połączeniu wyświetlany jest protokół, port, rodzaj połączenia, a także adres IP, z którym utrzymywane jest połączenie. Potencjalny keylogger może się ukrywać pod połączeniem, które posiada stan “Nasłuchiwanie”. Takich połączeń z pewnością trochę znajdziemy na liście, ale nie musimy się nimi przejmować dopóki wskazują one na pusty adres lub na IP 0.0.0.0.
Jeżeli jednak znajdziemy połączenie o stanie “Nasłuchiwanie” i będzie ono wskazywało na obcy adres IP, który nie jest ciągiem zer i wiadomo, że należy do obcego użytkownika internetu, to należy się zaniepokoić, gdyż może to być zwiastun zainstalowanego keyloggera lub innego szkodliwego programu, który wykrada dane z naszego dysku.
Jak zidentyfikować keyloggera?
Gdy spotka nas to nieszczęście i faktycznie znajdziemy aktywne połączenie z obcym adresem, to należy zwrócić na kolejną z dostępnych kolumn - na “PID”. Przy każdym połączeniu na liście wyświetlane jest ID połączenia. Większość keyloggerów skrywa się pod płaszczem działającej w systemie usługi. Znając jednak numer PID możemy szybko zidentyfikować szkodliwą usługę i ją wyłączyć.
Aby zidentyfikować usługę z keyloggerem, należy otworzyć menedżera zadań (prawy klik na pasku zadań > Otwórz menedżera zadań), a następnie w nowym oknie udać się do zakładki “Usługi”.
Zauważymy, że wyświetlana jest lista usług, a przy każdej z nich widnieje numer PID. Możemy teraz posortować listę po numerach PID, a następnie porównać identyfikator aktywnego połączenia z wiersza polecenia do usługi w menedżerze zadań i ją po prostu zamknąć.
Po zamknięciu usługi przerwiemy połączenie keyloggera z napastnikiem, ale nie znaczy to, że usuniemy szkodnika całkowicie. Aby to zrobić, należy zaopatrzyć się w dobre oprogramowanie antywirusowe i przeskanować swój komputer.