K-Log – An “almost” stealth Key Logger
Here is the first official release of K-Log, an "almost" stealth Key Logger writen in C#.
Why "almost" ? Because unfortunately, after the last signature upgrade of SOME of the antivirus on the market, the application went from being undetectable to being ALMOST undetectable.
Virustotal, the online file scanning service, using a base of 39 antivirus at once, gave a result of 4/39, about a clean 0/39 offered last week.
It's still a pretty good result, though.
AVG, AntiVir, Microsoft, TrendMicro, Sophos, Panda and NOD32 (among other major antivirus on the market) have not detected it yet 
As the Key Logger is distributed only for academic/testing reasons, it shows a warning message to the user every 2 minutes, giving them the path to the results file and granting them with the possibility of closing the application.
Screenshots:
Warning Message:
Results File:
Latest version: 0.7
Update: Eventually the antivirus were able to detect it, and I've decided not to release new versions in order to stop contributing with malicious agents. I've had hundreds of source code requests, by people of questionable credibility.
Download Link: K-Log.zip
SHA-256:
69BDCBE11AF84843EF797A96B6054CF1487A83ACA151C5B9AD333D84ED3D9402
VirusTotal result link: http://www.virustotal.com/analisis/6abe2f5ad6feafc91b480f666283eb1061b7319abb507fc647f988cfebbd84df-1270504073
Tags
Recent Posts
- ACK Security Conference – Manizales, Colombia
- Free Courses and Wargame in March
- Facebook or SET ?
- Facebook Simplifies Phishing Attacks
- Information Security Incident Treatment – Second Part
Archives
- February 2012 (1)
- January 2012 (1)
- October 2011 (13)
- September 2011 (14)
- August 2011 (5)
- July 2011 (7)
- June 2011 (8)
- May 2011 (3)
- April 2011 (7)
- March 2011 (2)
- February 2011 (2)
- December 2010 (2)
- November 2010 (5)
- October 2010 (4)
- September 2010 (6)
- August 2010 (3)
- June 2010 (4)
- May 2010 (3)
- April 2010 (3)
- March 2010 (2)
- February 2010 (6)
- January 2010 (16)
- December 2009 (6)
- November 2009 (2)
- October 2009 (7)
- September 2009 (12)
- August 2009 (4)
- July 2009 (4)
- June 2009 (4)
- May 2009 (4)
April 6th, 2010 - 16:12
Lo acabo de probar y fue testeado con McAfee, luego con el nombrado NOD32 y el AviraAntivir…
Increible… no hay mas palabras.
Ahora me remitire a revisar el Codigo Fuente C# (que no es mi fuerte):) y luego os contactare para cualquier duda…
Nuevamente Gracias
April 6th, 2010 - 16:16
Muchas gracias por el comentario.
Lamentablemente, no puedo divulgar el código fuente de la herramienta.
Por cualquier consulta, no dudes en escribirme
Saludos,
April 6th, 2010 - 17:24
Matias, buen trabajo!! Como hago para parar el KL en el momento que yo lo desee? O tengo que esperar a que aparezca el mensaje?
Gracias
April 6th, 2010 - 17:27
Javier, gracias por el comentario.
La app figura en la lista de tareas, siempre podes matarla a través del Task Manager.
April 7th, 2010 - 14:48
Realmente no es increible para entenderlo, primero hay que entender que los antivirus funcionan a base de deteccion de firmas, las firmas son partes del codigo del virus que lo identifican, y por lo tanto los hacen detectables, cualqueir programa de indole maliciosa pasara sin ser detectado cuando este es realizado para un ataque especifico. pues este no tendra una firma para ser identificado.
April 7th, 2010 - 15:32
Gabriel, gracias por tu comentario.
Aunque técnicamente tienes razón en lo que dices, la particularidad de esta aplicación es que está escrita en C#, el cual es un lenguaje de programación de alto nivel e interactúa con APIs de sistema operativo a través de su Framework, hecho que dificulta significativamente la ofuscación de código malicioso, beneficiando al ente escaneador.
La mayoría de los buenos virus informáticos son escritos en lenguajes de bajo nivel que interactúan con el OS directamente, dificultando su detección.
Saludos desde Buenos Aires
April 7th, 2010 - 18:03
el kis no lo detecta
April 8th, 2010 - 18:49
Matias interesante el programa, lo probe con el Kaspersky antivirus version 6 y no lo detecto, lastima que no pueda publicar el fuente..
April 8th, 2010 - 22:57
Estaba bueno como para testear pero….. ya “ESET SS” lo detecta como “MSIL/Spy.Keylogger.AI Troyano”
April 8th, 2010 - 23:43
Cristian,
Hace 2 días el ESET SS no lo detectaba, se ve que dentro de los tantos que me pidieron el link de descarga de la app había alguien adentro del team que pudo agregarlo a la base de firmas
April 9th, 2010 - 12:54
Es una lastima!!!!
April 9th, 2010 - 16:19
@Cristian
Cristian, al contrario.
Es bueno saber que la comunidad de antivirus se mueve lo suficientemente rápido como para frenar nuevas amenazas
April 4th, 2011 - 20:32
Y si lo ocultan con Window Hide Tool se pueden hacer cositas.
April 5th, 2011 - 00:37
Guillermo,
Puede ser, puede ser …..
April 24th, 2011 - 00:42
Buenas Noches, Matias.
Excelente trabajo, te Felicito,cualquier ayuda Puedes contar Conmigo.
Una Consulta, Para este keylogger estas utilizando Encriptación Reversible?.
Saludos, desde Republica Dominicana.
April 24th, 2011 - 01:26
Ney,
Gracias por escribir
Tu ofrecimiento sera considerado si deseo progresar en el proyecto de desarrollo del keylogger, sin embargo al servir 100% como herramienta de pentesting (como actualmente se usa para muchos profesionales de varios lugares del mundo), no estoy considerando actualizarlo.
No use ningun tipo de encriptacion ni encoding, esa es una de las bellezas de esta app
Saludos desde Argentina!
July 30th, 2011 - 15:28
Instalado y analizado en un Win7 con Kaspersky Anti virus 6.0 actualizado el dia 30 de Julio de 2011 y….. no lo detecta….
Felicitaciones Matias y que buen trabajo, estare al tanto de nuevos proyectos
August 1st, 2011 - 13:56
Felip3, excelente! Gracias por el testing y el feedback!
Estate atento, en cuanto tenga un tiempo libre voy a publicar un par de cosas más
Saludos!
August 13th, 2011 - 05:54
Que tal muy bueno el aporte, seria bueno que lo actualices para que sea de nuevo indetectable, pues ahora lo ecuentran 13 antivirus, te paso el link actualizado:
http://www.virustotal.com/file-scan/report.html?id=6abe2f5ad6feafc91b480f666283eb1061b7319abb507fc647f988cfebbd84df-1303249512
August 13th, 2011 - 15:50
Jorge, efectivamente ya tiene mejor detección.
No voy a publicar nuevas versiones que no se detecten, ya que con esto alcanza y sobra para hacer una buena PoC
Saludos!