Keyloggers — одна из самых вредоносных программ, которые могут поразить наш компьютер. Они контролируют нашу клавиатуру и регистрируют все кнопки, которые мы нажимаем на лету. Затем эти данные отправляются человеку, который бросил кейлоггер, чтобы украсть данные доступа на страницах.
Кража данных с помощью клавиатурных шпионов очень популярна не только в контексте доступа к банковским логинам, но и в мире онлайн-игр. Keyloggers являются причиной потери игровых аккаунтов многими игроками. Как бороться с ними, помимо установки антивирусных программ?
У клавиатурных шпионов есть один недостаток — постоянный контроль над нашей клавиатурой должен постоянно работать в фоновом режиме. Это означает, что процесс или служба все еще запущены на нашем компьютере, который подключен к иностранному IP-адресу и постоянно отправляет все данные с нашего компьютера. Имея это в виду, мы можем использовать довольно простой метод, который позволит нам обнаружить кейлоггер, работающий на компьютере.
Чтобы обнаружить кейлоггер, мы будем использовать командную строку в системах Windows. Поэтому мы открываем меню «Пуск», затем вводим «cmd» в поле поиска (без кавычек) и подтверждаем кнопкой [Enter].
В новом окне командной строки мы можем выдать соответствующую команду, которая отобразит нам список всех активных подключений на нашем компьютере. Для этого введите следующую команду: «netstat -ano» (без кавычек) и подтвердите с помощью «entera».
Теперь отображается список всех активных подключений на компьютере. При каждом соединении отображается протокол, порт, тип соединения, а также IP-адрес, с которым поддерживается соединение. Потенциальный кейлоггер может скрываться под соединением, имеющим статус «Прослушивание». В списке есть определенные подключения, но нам не о чем беспокоиться, пока они не укажут на пустой адрес или IP 0.0.0.0.
Если, однако, мы обнаруживаем связь о статусе «Прослушивание» и указываем на чужой IP-адрес, который не является последовательностью нулей и, как известно, принадлежит иностранному пользователю Интернета, тогда вам следует беспокоиться, потому что это может быть предвестником установленного кейлоггера или другой вредоносной программы, который крадет данные с нашего диска.
Как определить кейлоггер?
Когда эта катастрофа поражает нас, и мы находим активное соединение с иностранным адресом, оно должно быть возвращено в следующий доступный столбец — «PID». Идентификатор соединения отображается в списке при каждом подключении. Большинство клавиатурных шпионов скрыты под мантией системы. Однако, зная номер PID, мы можем быстро определить вредоносную службу и отключить ее.
Чтобы идентифицировать службу с помощью кейлоггера, откройте диспетчер задач (щелкните правой кнопкой мыши на панели задач> Открыть диспетчер задач), а затем в новом окне перейдите на вкладку «Службы».
Вы заметите, что отображается список услуг, каждый из которых показывает номер PID. Теперь мы можем отсортировать список по номерам PID, а затем сравнить идентификатор активного соединения из командной строки с сервисом в диспетчере задач и просто закрыть его.
После закрытия службы мы отключим кейлоггер и злоумышленника, но это не значит, что мы полностью удалим вредоносное ПО. Для этого вам необходимо получить хорошее антивирусное программное обеспечение и сканировать компьютер.
