Ymess, keylogger si scan online

Stateam sambata de vorba cu un prieten pe messenger si cand ma pregateam sa-i trimit un jpg ma trezesc c-o frumusete de deconectare si cu mesajul (aproximativ) "You have been signed out because you logged in on another machine/computer". Intru cu aceeasi parola, in mai putin de un minut ma scoate iar. Bantuit de-o neagra presimtire schimb in doi timpi si trei miscari parola de email si ma reloghez cu parola noua in messenger, unde amicul imi spune ca a patit la fel.
Mi s-a mai intamplat sa se deconecteze Ymessul, dar nu ma bucurasem pana acum de mesajul ala si nici nu ma asteptam la el, dotat fiind cu antivirus, firewall, Ad-aware+Spybot, prietena si varsta nepotrivite vizitarii de site-uri "periculoase", basca un dram de cunostinte despre securizarea XP-ului.
Convins ca problema se rezolvase, intru duminica dimineata sa-mi citesc emailurile si parola de-abia setata nu mai era buna. Deschid fulgerator ca Cichicean messengeru`, ii dau rapid sign out, concomitent cu downloadul Asterwin-ului de pe Softpedia si vad ca parola din casuta corespunzatoare a Ymess-ului era... "password". Nu, n-o pusesem eu, evident
Abia aci intervine Triunghiu` Bermudelor in viata mea: nu stiu daca a mai trecut un minut si parola pe care o setasem sambata redevine functionala pt mail, la care "password" nu mergea    Intru in Mail Options-Account Information-Change Password, schimb iar. Boon, mailul merge bine.
Messengeru` accepta parola "password" asa cum o descoperise Asterwin, DAR NU si daca scriam eu acolo cuvantul "password". Spuchi shit. In cele din urma i-am pus ultima parola setata pt. mail si merge.
Exclud posibilitatea unui keylogger, ca doar avem si noi 4 clase primare si, ca badigarzii, scoala vietii, nu? Care este...
Am scanat tot, cu de toate. N-am belele prin calculator.
Pana la urma, ce a fost? De la ce a fost? Chem un popa sa descante hardu`?

Si ca sa nu deschid un topic nou: brusc (re)interesat de chestiunile de securitate, am cautat un keylogger care sa trimita datele pe mail. Am gasit UltraKeylogger si, de curiozitate, l-am scanat off- si online.
Rezultate:
 jotti.jpg   110.48K   450 downloads  kav.jpg   71.14K   379 downloads  bit1.jpg   34.07K   298 downloadstachment]  trend.jpg   96.8K   259 downloads  panda.jpg   12.3K   205 downloads  fsecure.jpg   40.71K   193 downloadstachment]
Prin urmare nu este detectat decat de Bit Defender si Panda.
Ad-aware si Spybot nu-l vad.

malonga, on May 29 2006, 04:16, said:

nu-mi aduc aminte daca ultrakeylogger are functia de remote install.uita-te la msconfig k toate keyloguriel apar acolo...si vezi daca ti se pare ca ai ceva susperct....oricum personal nu cred ca e un keylogger din moment ce passwordul bun era deja scris in mess.....keylogerul doar iti afla parolele nu ti le si scrie...decat daca a aumblat altcineva prin calcu tau

Nu am avut keylogger si acum m-am prins ca nu-mi schimbase nimeni parola... ce sa-i faci, asta-i paranoia.
Asterwin nu mai poate afisa corect parola de sub asteriscurile messengerului, de aia imi aparea "password".

am luat si eu UltraKeyLogger si l-am bagat intr-o arhiva parolata si l-am trimis spre analiza la Kaspersky Labs...acum astept sa vad ce zic ei

later: revin cu raspunsul in cateva ore...

Edited by MadMike.Mitza, 29 May 2006 - 17:44.

L-am gasit si eu. Iata ce zice Panda in legatura cu Ultrakeyloggerul asta. Este in baza de semnaturi a lor inca din 18.10.2005.
Keylog.EJ is a Trojan that allows hackers to get into and carry out dangerous actions in affected computers, such as capturing screenshots, stealing personal data, etc.

MadMike.Mitza, on May 29 2006, 18:42, said:

nu e nimic de asteptat, mie Kaspersky mi l-a vazut si da, tot din 10.2005 il stie.

Probabil ca ei folosesc baza de date cea mai mica la KAV(am uitat cum ii zice) , folositi-o pe cea extended .

eee...culmea ca mie nu mi-l vede kav 6.0.0.300...cu update-uri la 3 ore...whatever

@cods: la KAV 6.0 este implicit setata baza de semnaturi extended...

cum spuneam, il vede, probabil tu ai renuntat la Web-Av

Ultrakeylogger-ul asta si ca altele de fel, stiti ce scopuri au, si ... mi se pare normal ca un antivirus sa ii detecteze activitatea ca ... necorespunzatoare.Eu il folosesc, dar nu il las sa trimita mailuri .atata. Plus ca am un ZA instalat, KAV ca antivirus, AD AWARE si toate update-urile la zi.
Al doilea lucru cu privire la problema cu care sa inceput topicul, cel cu messengerul , si eu si mai multi oameni am patit-o, si sa stiti ca:
         - treaba cu schimbatul parolei nu a mers
         - am creat un alt user, si cand am vrut sa ma conectez ..same problem.

Nu stiu care ar fi explicatia, dar e cam ciudat si ma face sa ma razgandesc in a folosi messengeru din nou

Edited by cheloo2005, 30 May 2006 - 08:42.

ym este departe de a fi perfect si nu este decat extremitatea unui sistem indeajuns de mare pentru a genera erori, prin urmare ...dificil de a judeca. Daca nu exista nici un keylogger instalat si in functiune, comportamentul respectiv poate fi pur si simplu o eroare pe unul din serverele de autentificare, eroare remediata cand ai fost directionat pe altul sau si-a revenit respectivul sau ..inventeaza si tu.

si eu am patit treaba cu deconectarea la greu, la fel si eu...schimbat parole etc tot la fel

Am patit acelashi lucru. Nu cred ca este un keylogger sau ceva de genul asta. Este, cum s-a mi spus, o problema de servere.

pana la urma ce program detecteaza TOATE keyloggerele? Panda e pana la urma cel mai bun dintre cele free?

ca adaware lavasoft se pare ca nu stie tot... eh?

Si eu am gasit KeyLogger asta in baza de date la Avira.
Iata ce spun ei(TR/Keylogger.H - Trojan):


Nume: TR/Keylogger.H
Descoperit pe data de: 16/10/2006
Tip: Troian
ITW: Nu
Numar infectii raportate: Scazut
Potential de raspandire: Scazut
Potential de distrugere: Mediu
Fisier static: Da
Marime: 41.984 Bytes
MD5: 78d688da49ab8bc518108a62d1829118
Versiune VDF: 6.36.00.109 - Mon, 16 Oct 2006 07:56 (GMT+1)
Versiune IVDF: 6.36.00.125




Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Creeaza un fisier
   • Inregistreaza intrarile de la tastatura

Fisiere Este creat fisierul:

– %WINDIR%\mssvr2\%data curenta%.txt Acest fisier stocheaza datele introduse de utilizator la tastatura.
Furt de informatii – Face captura la:
    • Datele introduse de la tastatura

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).