Friday, March 23, 2012

Mengenali ciri ciri Cheat Berkeylogger

Bagaimana caranya ? Tergantung keahlian masing-masing dalam capture data. Bisa menggunakan whiteshark atau capture data lainnya. Ada juga cara simple seperti penggunaan Keylogger Detector milik @ ada juga menggunakan anti virus sekelas Kaspersky, ada juga yang mencoba debugging sendiri yang dibantu oleh orang orang se-type dan selevel @jonita misalnya. Atau mendetect port 495 sebagai port smtp gmail secara gratis. Kalau jalan port tersebut pasti keylogger.

Saya contohkan pada kasus http://www.nyit-nyit...etected-ls-v59/

        1. saat dijalankan, file exe (V5.9.exe) meng-ekstrak file pendukung ke folder temporary
        2. file yang diekstrak tadi dijalankan (filedrop1.exe)
        3. file yang dijalankan tadi, mengcopy diri ke folder system di windows dengan nama server.exe
        4. menjalankan explorer.exe milik windows dan menginject kode program yang ada di dalam si server.exe
        5. server.exe dihapus
        6. kode program jahat yang diinjek ke explorer.exe melakukan tugas monitor komputer korban
        
        dari hasil capture data dibawah, bisa diambil kesimpulan bahwa:
        1. pelaku memasang program monitor pada korban, pada data terdapat string title window yang sedang aktif
        2. pelaku menyalakan server pribadi untuk menerima data hasil monitor pada port 88 komputernya
        3. IP pelaku adalah 180.246.109.61
  
        hasil capture data:
        ==================================================
        Index                    : 6
        Protocol                  : TCP
        Local Address    : 192.168.0.69
        Remote Address  : 180.246.109.61
        Local Port              : 58156
        Remote Port        : 88
        Local Host              : xxx
        Remote Host        : 3gplovers.no-ip.biz
        Service Name      : kerberos
        Packets            : 24
        Data Size                : 980 Bytes
        Total Size              : 1,984 Bytes
        Data Speed              : 0.0 KB/Sec
        Capture Time      : 2/17/2012 7:58:52 AM:922
        Last Packet Time  : 2/17/2012 7:59:30 AM:252
        Duration                  : 00:00:37.330
        Local MAC Address : xxx
        Remote MAC Address: 00-0d-88-f5-93-2c
        Local IP Country  :
        Remote IP Country :
        ==================================================
        
        00000000  33 31 7C 0A F4 66 F0 F2  DB B9 C4 CD 13 DC DC FD   31|.ôfðò Û¹ÄÍ.ÜÜý
        00000010  63 D6 56 31 06 50 27 00  19 91 87 FB 8B 8A 08 BC   cÖV1.P'. .‘‡Û‹Š.¼
        00000020  B7 E3 60                                                                                 ·ã`
        
        
        
        
        
        RM5fRcbkPczyCJ8pD3KsV34uC3CnCpSrJZatOKfoQsrmSLXiRsLYMNesUJHsP54nV0###@@@
        
        00000000  0A 34 38 38 7C 0A F4 66  F0 F2 DB B9 C4 CD 13 DC   .488|.ôf ðòÛ¹ÄÍ.Ü
        00000010  DC FD 63 D6 56 31 D8 FC  DA 59 FB 94 38 B5 3E AB   ÜýcÖV1ØÜ ÚYÛ”8µ>«
        00000020  E5 74 C4 25 D8 20 7F C7  9D 07 DF 45 1E 76 AC D6   åtÄ%Ø Ç .ßE.v¬Ö
        00000030  02 23 4F A6 D7 E9 5A A6  ED CF 6B 20 8D 0F 93 1C   .#O¦×éZ¦ ÍÏk .“.
        00000040  39 DC 93 EF C2 36 54 9C  E0 13 DA 78 36 83 BB FD   9Ü“ÏÂ6Tœ à.Úx6ƒ»ý
        00000050  BC 8F FB EC FB 19 49 84  43 EA BD 27 35 B3 18 61   ¼ÛìÛ.I„ Cê½'5³.a
        00000060  B0 95 34 B9 61 86 78 A9  F6 ED 51 4C CE E8 E5 B9   °•4¹ax© ÖÍQLÎèå¹
        00000070  8D 87 14 23 20 20 3B C9  5B 04 F2 AB 2B A4 3D 7B   ‡.#  ;é [.ò«+¤={
        00000080  7B BA 97 82 F5 43 18 E4  ED 2D 52 6D 80 2C 11 F3   {º—‚õC Í-Rm€,.ó
        00000090  05 8D 88 70 D0 40 4A CA  8D 5F 2C D6 C5 32 57 8C   .ˆpð@Jê _,Öå2Wœ
        000000A0  E8 34 F4 FE FC A0 0C FF  E0 4A 21 D2 4C FB 89 45   è4ôþÜ .ÿ àJLÛ‰E
        000000B0  A0 DD 2A BC D5 21 D7 63  F0 1A F7 9D B5 2C DC 9A      ý*¼õ!×c ð.÷µ,ÜŠ
        000000C0  4A 65 7F 84 26 F8 55 45  E8 5A 18 6B 9D 1C E0 25   Je„&ØUE èZ.k.à%
        000000D0  3B 2D A2 67 94 5C 74 54  A5 E5 14 3A 62 0B D9 2D   ;-¢g”\tT ¥å.:b.Ù-
        000000E0  60 F9 A2 D1 AF 35 4E F0  AE 75 7E 45 06 70 D9 14   `٢ѯ5Nð ®u~E.pÙ.
        000000F0  8E 6C 8A 1A 53 58 FD FF  45 72 71 B4 8D B4 5B 0B   ŽlŠ.SXýÿ Erq´´[.
        00000100  8E 60 D9 6F F1 50 D2 54  23 2C 1D 85 E8 FF 23 A3   Ž`ÙoÑPòT #,.…èÿ#£
        00000110  F3 25 23 C2 6A E7 7A 1B  28 A9 65 5A 1C FD ED 6C   ó%#ÂjÇz. (©eZ.ýÍl
        00000120  7D 26 88 90 A5 30 3B 3F  11 A2 29 6A D3 05 28 1A   }&ˆ¥0;? .¢)jó.(.
        00000130  A4 B5 33 2B 7F 16 9B 19  75 80 2B 59 EB 01 3A 79   ¤µ3+.›. u€+Yë.:y
        00000140  F7 66 35 81 47 22 B2 E2  68 04 95 E2 12 88 F5 4C   ÷f5G"²Â h.•Â.ˆõL
        00000150  50 71 1E 6D CE 8B EB C4  2F C4 29 D1 71 FE B3 8F   Pq.m΋ëÄ /Ä)Ñqþ³
        00000160  76 BB F0 6F AE 47 7C 4C  DE 14 F0 F2 0B 97 E5 43   v»ðo®G|L þ.ðò.—åC
        00000170  2B 5B 08 FA 8B 60 21 17  B7 C8 67 6D 52 70 22 24   +[.Ú‹`!. ·ègmRp"$
        00000180  48 B6 93 BE 8B 8E F1 81  CD 0C 1A F0 31 D5 57 C9   H¶“¾‹ŽÑ Í..ð1õWé
        00000190  FF 54 70 28 48 A4 D3 43  B4 33 62 AE 1E A5 92 5F   ÿTp(H¤óC ´3b®.¥’_
        000001A0  83 F8 9C A5 EF 8E 2D 31  2F 46 EA F2 DF 7E 98 7D   ƒØœ¥ÏŽ-1 /Fêòß~˜}
        000001B0  92 6F CD 9C A7 9B 41 43  DF AB AF B5 59 F7 20 89   oÍœ§›AC ß«¯µY÷ 
        000001C0  74 0B 0F D6 A4 01 C3 21  6C 30 26 68 9C 9F 2A 2E   t..Ö¤.ã! l0&hœÿ*.
        000001D0  90 B0 C1 BF B3 D4 73 50  76 1A 6F 1B 39 DC 0A C6   °Á¿³ôsP v.o.9Ü.Æ
        000001E0  3E 40 21 E0 75 6D F2 24  B5 F7 B8 77 F8 C5             >@!àumò$ µ÷¸wØå
        
        OszkPcbdTN9XOszbSsHlSsLoTcLoV0###@@@
        
        00000000  0A 32 33 37 7C 0A F4 66  F0 F2 DB B9 C4 CD 13 DC   .237|.ôf ðòÛ¹ÄÍ.Ü
        00000010  DC FD 63 D6 56 31 90 29  4E 7D EB 94 34 8F 0C 09   ÜýcÖV1) N}ë”4..
        00000020  C7 9F 8C 92 BE 08 10 12  87 B4 E0 89 BA D8 B4 E6   Çÿœ’¾... ‡´à‰ºØ´Æ
        00000030  DD 97 B4 B3 69 BD F2 75  3B 29 86 44 7D C7 49 0E   ý—´³i½òu ;)‡DI.
        00000040  01 4A E8 46 2C 56 E8 23  AC A0 55 B0 C2 54 E7 85   .JèF,Vè# ¬ U°ÂTÇ…
        00000050  7C 8A 24 D7 69 5E 1A 88  1B 5A F5 04 19 88 BA C8   $×i^.ˆ .Zõ..ˆºè
        00000060  0F 8F 1E 13 02 63 F3 BC  FF FC 82 96 89 E9 4B 08   ....có¼ ÿÜ‚–‰éK.
        00000070  82 E7 7A CC C0 9A 26 5B  29 8F DA 16 C5 C2 26 B8   ‚ÇzìàŠ&[ )Ú.åÂ&¸
        00000080  77 8F ED EB 41 44 F6 1D  78 40 9E 37 66 42 C8 40   wÍëADÖ. x@ž7fBè@
        00000090  CE C6 72 BA F8 3F 7D 98  D4 11 43 00 31 21 71 05   ÎÆrºØ?}˜ ô.C.1!q.
        000000A0  23 92 D0 ED 49 EA 03 3E  0A A4 62 D8 99 69 8A 98   #’ðÍIê.> .¤bØ™iŠ˜
        000000B0  9E 38 87 AB 2E 9B 60 DE  78 88 3C 18 62 66 94 E5   ž8‡«.›`þ xˆ<.bf”å
        000000C0  FB 5C C3 5C DE 48 63 DB  E9 52 CC 0F 39 E6 34 0D   Û\ã\þHcÛ éRì.9Æ4.
        000000D0  2B 97 F9 40 45 F1 55 C8  FE A4 CC 38 EF BC 8C CA   +—Ù@EÑUè þ¤ì8ϼœê
        000000E0  CB 29 87 D5 7C D9 50 FB  D4 EB D8 A2 3D 32 BE 72   ë)‡õ|ÙPÛ ôëØ¢=2¾r
        000000F0  76 DA E8                                                                                 vÚè
        
        ping|
        
        pong|Temp###219|
        
        ping|
        
        pong|SmartSniff###265|
        
        ping|
        
        pong|Windows Task Manager###0|
Credits: Jonita

Nah dari segi sudut pandang saya, ip nya dynamic karena dia memakai 3gplovers.no-ip.biz dibantu oleh No-IP Duc software dari http://www.no-ip.com

Untuk teman-teman yang pernah meriset tentang bagaimana sebuah keylogger berjalan, mohon sharing pengalamannya untuk membantu rekan-rekan kita di Nyit-nyit.

Ingat ya, tetap tidak ada yang aman di Internet, tingkat keamanan di Internet tergantung level kamu dan orang yg memaintenance networking atau komputer kamu. Kalau mau aman 100%, silahkan cabut power cable nya untuk tidak terkoneksi ke komputer. 
Facebook Comments
0 Blogger Comments

0 komentar:

Post a Comment

Terimakasih sudah berkunjung ^_^ , Tolong tinggalkan pesan atau komentar agar saya bisa berbenah :) dimohon untuk tidak SPAM dan LIVE LINK di blog saya :)

TERIMAKASIH ^_^