[[ O email ]]

De: Lucas Immianovsky

Assunto: Dados no keylooger?

Olá Code ripper, primeiramente queria parabeniza-lo pelo blog que esta show.
Estou lhe mandando esse e-mail para ver se você sabe algo sobre o tal.
É o seguinte, eu tinha criado um keylooger e por curiosidade mesmo abri ele com varios Debuggers e disassemblers. Mesmo procurando por strings e vasculhando o codigo nao achei nada…
O que queria na verdade era ver o e-mail que eu configurei para que os logs de quem se infectasse com ele (keylooger) viessem para mim.
Nao achei nenhum tipo de dado, muito menos o e-mail.
Gostaria que, se voce souber é claro.. se da para ver o e-mail e qual o modo mais facil.
PS: Nao precisa criar nada grande nem um tuto (no caso de haver possibilidades) pois so quero mesmo saber o basico.
PS: O keylooger com o Res Hack so mostra icones. o.O

Ja fiz os desafios la no blog, com o tuto fica bem facil. 😉

Abraços..

[[ A resposta ]] 

Lucas,

Para reproduzir o problema, instalei uma ferramenta chamada Perfect Keylogger, que é keylogger bastante popular. Configurei a ferramenta em meu próprio computador e habilitei e logging de conversas no MSN, configurando o delay entre o envio de mensagens para 1 minuto. É claro que no mundo real, você precisaria de um pouco mais de tempo monitorando.

Então, liguei o meu querido Ethereal e não fiz mais NADA na internet.  E olha o que eu encontrei!!

Clique para ampliar

Bom, o que você conclui por este trace?  Uma conexão FTP! Essas áreas em vermelho são o nome de usuário e a senha 😀

Depois ele cria um diretório com a data e a hora atuais e envia um arquivo chamado keystrokes.html. Hummmmmmmmm, muito bom saber. Mais abaixo, invisível na figura, aparece outro arquivo sendo carregado para o FTP, o report.txt.

Descobrimos o seguinte:

  • Ele está utilizando um servidor de FTP para o envio das senhas;
  • Sabemos o nome do usuário;
  • Sabemos a senha 😀 (O FTP, por padrão, utiliza texto claro na autenticação);
  • Sabemos  o IP do servidor.

Então, vamos logar no servidor e recuperar os arquivos!

Sessão FTP

Beleza! Temos os arquivos que foram enviados para o alvo, mas… aproveitando, lá dentro você pode olhar os arquivos e acabar descobrindo quem é o dono do FTP.

Com isso, se você se sentiu lesado (foi além de uma brincadeira), você pode denunciá-lo para a polícia, afinal, a sua máquina continua infectada. Nesse caso, é melhor você não remover os arquivos que foram enviados para lá.

O que você aprendeu com isso? Se você não pode adivinhar o que um programa faz observando o seu código, você sempre pode monitorar as suas atividades. Por outro lado, a análise do software também seria um caminho plausível para isso, embora te tomasse muito mais tempo nesse caso específico.

Espero que a resposta tenha sido satisfatória!

[[ Também tenho dúvidas!! ]] 

Se você tiver uma dúvida interessante, envie um email para coderipper@codebunker.org. Você também pode utilizar o nosso fórum para isso. O cardápio está a sua disposição.

Abraços a todos.