Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Weitere Magazine

Empfehlungen

Info

Entdecken mit Hilfe von Signatur-DatenbankenWie schon erwähnt, ist die Signatur des vorliegendenKeyloggers bereits in den Antivirus-Datenbanken vonKaspersky Lab vorhanden. Da dieser Keylogger allerdingsals legales Programm positioniert wird, das zuvöllig legalen Zwecken genutzt werden kann, befindetsich dessen Signatur in der Kategorie riskware (potentiellgefährliche Software). Das Entdecken von Programmendieser Kategorie ist in der Standardkonfigurationnicht vorgesehen. Um diese Funktion zu aktivieren,muss unter Einstellungen/Schutz das Kästchen vordem Punkt Potentiell gefährliche Software; Remoteverwaltungsprogramme,Scherzprogramme unter Kategorienfür schädliche Software angeklickt werden:In der Grundeinstellung startet Kaspersky InternetSecurity die Überprüfung von Autostart-Objekten mitHilfe einer speziellen Systemfunktion. Diese Methodeermöglicht auch das Entdecken der verborgenen Dateiendes Spy Lantern Keyloggers (in diesem Fall mitdem Präfix ketaf), die für alle ande ren Anwendungendes Betriebssystems unsichtbar sind.Schließlich erscheint ein Dialogfenster, analog zu demoben dargestellten. Entscheidet sich der Anwender dafür,den Keylogger zu löschen, so schlägt KasperskyInternet Security die Desinfizierung der aktiven Infizierungvor – da der Keylogger-Prozess zum entsprechendenZeitpunkt aktiv ist (wenn auch mit Hilfe desRootkit-Treibers nicht sichtbar).Wurde die Funktion zum Aufspüren potentiell gefährlicherSoftware aktiviert, erscheint bei der Installationdes Keyloggers der folgende Warnhinweis:KeyloggerDer Keylogger wird daraufhin blockiert, und der Anwenderhat nun die Möglichkeit, die installierte Datei durchAnklicken der entsprechenden Schaltfläche zu löschen.Lässt der Anwender die Installation zu, wird nach abgeschlossenerInstallation des Keyloggers ein Neustartdes Computers durchgeführt und der Keylogger wirddaraufhin im verborgenen Modus aktiv. Unabhängigvom Modus ermöglicht Kaspersky Internet Security dieEntdeckung und Neutralisierung des Keyloggers.Bei der Desinfektion einer aktiven Infizierung handelt essich um eine von den Kaspersky Lab-Spezialisten entwickelteProzedur, die die Neutralisierung schädlicherSoftware ermöglicht, unabhängig davon, wie „tief“ dieseim Betriebssystem verankert ist. Diese Prozedurwird immer dann aktiviert, wenn Kaspersky InternetSecurity einen schädlichen Prozess im Arbeitsspeicheroder unter den Autostart-Objekten entdeckt.Am Ende dieser Prozedur steht das Löschen des Keyloggers,woraufhin ein Neustart des Computers gefordertwird. Dieser ist unbedingt erforderlich, damit sichder aktive Schadcode nicht auf dem Computer des Anwendersverankern kann.24
Hat der Anwender der Desinfektion einer aktiven Infizierungzugestimmt, so werden die Keylogger-Dateiennach dem Neustart des Computers für jeden Prozessim System sichtbar:Ein wesentliches Merkmal der Produkte von KasperskyLab ist das leistungsstarke Modul Proaktiver Schutz.Der proaktive Schutz unterscheidet sich von dem Signatur-basiertendadurch, dass der Anwender nichtmehr warten muss, bis die Signatur einer neuen Bedrohungin die Antivirus-Datenbanken aufgenommen wirdund das Produkt das entsprechende Update vom Serverdes Herstellers herunter geladen hat. Das ModulProaktiver Schutz bietet dem Anwender – auch ohneAktualisierung der Datenbanken – Schutz vor neuenBedrohungstypen und Modifikationen existierenderSchadprogramme, denn seine Funktionsweise beruhtauf der ununterbrochenen Überwachung der Aktivitätaller Prozesse im System des Anwenders. Die Einstufung(gefährlich, verdächtig usw.) ergibt sich auf Grundder Analyse dieser Aktivität. Der in die Kaspersky-Produkteintegrierte proaktive Schutz gewährleistet Schutzvor verschiedenen Arten von Schadprogrammen, inklusiveKeylogger und Rootkits.In den Einstellungen des Subsystems Aktivitätsanalysefür Anwendungen im Modul Proaktiver Schutz werdenoptional die folgenden drei Funktionen zum Schutz vorRootkits und Keyloggern angeboten: Auftreten einesversteckten Prozesses (Rootkit), Eindringen von Hooksin Fenster und Entdecken von Tastaturspionen:Analog zu den Keylogger-Dateien werden nach derDesinfektion einer aktiven Infizierung und dem darauffolgenden Neustart des Computers auch die Prozessedes Keyloggers (ketaf.exe und ketafl.exe) für den Anwendersichtbar, wie die Abbildung des Windows TaskManagers zeigt:Im Folgenden wird dargestellt, wie das Modul ProaktiverSchutz die Aktivität des Spy Lantern Keyloggersneutralisiert.Installation eines globalen Hooks verhindernZum Abfangen der Tastatureingaben verwendet derSpy Lantern Keylogger im Wesentlichen die Methodeder Installation eines Hooks auf die Tastaturereignissemit Hilfe der Funktion SetWindowsHook.KeyloggerProaktiver SchutzDas Modul Proaktiver Schutz informiert den Anwenderüber die Installation eines Hooks und überlässt es demAnwender durch einen Klick auf die entsprechendeSchaltfläche, die Tätigkeit des Keyloggers zu beendenund die Installation des Hooks zuzulassen oder zu verbieten.25
Seite 1 und 2: W H I T E P A P E RKeylogger: Funkt
Seite 3: Verfügen die Kriminellen erst einm
Seite 9 und 10: Interaktion auf der unteren Ebene m
Seite 11 und 12: tung aller Typen von Ein- und Ausga
Seite 13 und 14: über den Eingabe-Zustand. Bezügli
Seite 15 und 16: Installation des Hooks für Tastatu
Seite 17 und 18: Die Vorteile dieses Ansatzes: Alle
Seite 19 und 20: Schutz vor Keyloggern mit Produkten
Seite 21 und 22: Der letzte, fünfte Reiter enthält
Seite 23: Verborgene Registrierungsschlüssel
Seite 27: Kaspersky LabKaspersky Lab reagiert

Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?