Trovato KeyLogger nel sistema operativo Windows 10?

1

Ero in esecuzione Yara, il modello che combina il coltellino svizzero per i ricercatori di malware su Windows 10.

Ho eseguito una scansione utilizzando le regole di Yara Rules dalle regole YARA Regole di Github e MalwareConfig.

Mi sono imbattuto in queste DLL con firme che corrispondevano ai privilegi di escalation e ai keylogger.

  • avicap32.dll
  • mscorlib.dll
  • AcGenerl.dll
  • accessibilitycpl.dll
  • adalsql.dll
  • Atbroker.exe
  • etc

Per me ha senso AcGenerl.dll ha una firma di keylogger perché gestisce la tastiera ma MsCorlib.dll? non ha senso perché ha queste firme.

Qualche spiegazione del motivo per cui alcune di queste DLL di Windows aumentano i flag? (Non intruso perché le mie regole sono state rilevate ma in particolare i programmi e le librerie)

[Modifica] Virus Total dice anche che questi file non sono infettati da malware o da un rootkit.

Alcuni di questi potrebbero essere backdoor?

    
posta Sam Arnold 19.06.2017 - 18:28
fonte

1 risposta

1
  • avicap32.dll è un processo di sistema e utilizza l'API di Windows per capture AVI contenuto formattato.
  • mscorlib.dll è multi-lingua (Microsoft) standard Common Object Runtime Library.
  • AcGenral.dll è la DLL di compatibilità di Windows, potrebbe essere la registrazione delle informazioni per vedere se tutto è andato bene. Non sono sicuro di questo.
  • accessibilitycpl.dll è la semplicità del pannello di controllo degli accessi. Possibile che la facilità di accesso abbia bisogno di permessi speciali per funzionare correttamente, la registrazione delle chiavi potrebbe essere una sola.
  • adalsql.dll è la libreria di autenticazione di Active Directory per SQL Server. Un servizio di autenticazione gestisce la tastiera e deve registrarli.
  • AtBroker.exe sembra essere tecnologie accessibili per le transizioni tra i desktop. Secondo fixoserror.com .

Sembra che quasi tutti stiano gestendo le azioni della tastiera. A proposito, mscorlib.dll sembra anche essere usato durante la creazione di keylogger. Su turkhackteam.org c'è un thread di keylogger e i risultati di debug forniscono un file mscorlib. Anche su mscorlib questo StackOverflow link potrebbe darti delle idee fantastiche.

    
risposta data 20.06.2017 - 01:08
fonte

Leggi altre domande sui tag