Nieuws
image

Onderzoeker ontdekt 331MB grote keylogger

woensdag 15 oktober 2014, 14:33 door Redactie, 5 reacties

De meeste malware is vrij klein qua omvang, maar een Griekse onderzoeker heeft nu een keylogger ontdekt die 331MB groot is. De malware is een combinatie van een commerciële keylogger genaamd "Limitless Keylogger" en AutoIt-programma's. De keylogger slaat toetsaanslagen op en stuurt de informatie naar het e-mailadres van de aanvaller.

De aanval begint volgens onderzoeker Ouranos Panagiotis met een spamcampagne, waarbij er een kwaadaardige e-mailbijlage wordt gebruikt. Het meegestuurde bestand is in werkelijkheid een EXE-bestand, maar doet zich dankzij een dubbele extensie voor als PDF-bestand. Standaard wordt de extensie van bestanden in Windows niet weergegeven, waardoor het lijkt alsof het bestand op .PDF eindigt.

Het EXE-bestand is een zichzelf uitpakkend RAR-bestand dat vier bestanden op de computer installeert en verbergt. Het gaat onder andere om een AutoIt-script dat 331MB groot is. AutoIt is een freeware automatiseringsprogramma voor Windows dat voor het uitvoeren van allerlei taken kan worden gebruikt. In dit geval zorgt de compressie van het script ervoor dat het in de e-mailbijlage slechts zo'n 200KB groot is.

Eenmaal uitgepakt is het bestand 331MB in omvang geworden. Van deze 331MB is slechts 55KB kwaadaardige code. De rest is vulling. Daarnaast beschikt de malware over verschillende eigenschappen om niet te worden opgemerkt. Zodra het uitvoerbare bestand is uitgepakt wordt het echter door 29 van de 54 virusscanners op VirusTotal herkend.

Image

Reacties (5)
15-10-2014, 14:37 door Anoniem
Om welke virusscanners gaat het dan vraag je je dan toch af?
15-10-2014, 15:24 door Anoniem
Rare titel, de ontdekte keylogger was 55kb groot.
15-10-2014, 15:35 door Anoniem
Er zijn virusscanners die bestanden groter als X MB niet scannen, dat kan wellicht de reden zijn waarom dat het (express) zo groot is. Bestanden groter dan 64MB zijn niet te uploaden naar VirusTotal, ingepakt natuurlijk wel.
15-10-2014, 16:38 door Anoniem
Duidelijk een combinatie van de 'Limitless Logger' (.NET EXE) & een of andere AutoIT crypter. Zo bestaan er wel duizend op een bepaald forum..

Bestandsgrootte is 'opgepompt' om antivirussen te misleiden en het voor reverse engineers een heel klein beetje moeilijker te maken.

De maker van Limitless Logger is er al een tijdje mee bezig hoor (nickname Mephobia), vandaar ook dat de meeste AV's de standaard keylogger ook al herkennen. Natuurlijk is dit een volledig ander verhaal in combinatie met een 'crypter'. Duidelijk ook dat een van zijn 'klanten' er nu voor gezorgd heeft dat zijn keylogger zo in het nieuws staat.

In ieder geval moet u weten dat Limitless Logger, want zo heet het, niet Limitless Keylogger, al enkele jaren bestaat.
16-10-2014, 08:25 door Anoniem
Standaard wordt de extensie van bestanden in Windows niet weergegeven
Ik kan er niet bij dat dat nog steeds standaard is. Dit is zooo slecht en zet heel veel mensen op het verkeerde been.
Het is het eerste wat ik wijzig als ik toegang tot een Windows-machine heb, van mijzelf of van bekenden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search