K-Log – Un Key Logger “casi” stealth
Aquí está el primer release oficial de K-Log, un Key Logger escrito en C# que es "casi" stealth.
Porqué "casi" ? Porque lamentablemente, luego de las últimas actualizaciones de bases de firmas de ALGUNOS de los antivirus en mercado, la aplicación pasó de ser indetectable a CASI indetectable.
Virustotal, el servicio de escaneo de archivos online utilizando una base de 39 antivirus simultáneamente, ofrece un resultado de 4/39, sobre un limpio 0/39 que ofrecía la semana pasada.
Sin embargo, sigue siendo un muy buen resultado.
AVG, AntiVir, Microsoft, TrendMicro, Sophos, Panda y NOD32 (entre otros mayores antivirus en mercado) todavía no lo detectan 
Como el Key Logger se distribuye por motivos únicamente académicos/de testeo, el mismo presenta un mensaje de advertencia al usuario cada 2 minutos, dándole la ruta del archivo de resultados y posibilitándolo a cerrar la aplicación.
Screenshots:
Cartel de Advertencia:
Archivo de Resultado:
Ultima versión: 0.7
Update: Eventualmente los antivirus lograron detectarlo, y he decidido no sacar nuevas versiones para no seguir colaborando con agentes maliciosos. He tenido cientos de pedidos del código fuente por parte de personas de credibilidad dudosa.
Link de Descarga: K-Log.zip
SHA-256:
69BDCBE11AF84843EF797A96B6054CF1487A83ACA151C5B9AD333D84ED3D9402
Link al resultado de VirusTotal: http://www.virustotal.com/analisis/6abe2f5ad6feafc91b480f666283eb1061b7319abb507fc647f988cfebbd84df-1270504073
Aún no hay trackbacks.
Tags
Recent Posts
- Online Nmap Scanner – Escanea tu red rápida y fácilmente
- Cual es mi dirección IP?
- Denegación de Servicio a IP TV Sony Bravia
- CXO Community – V Jornada de Gestión de la Identidad en la Era Digital
- Lock – Un simple bloqueador de consola para Linux
Archives
- April 2012 (3)
- March 2012 (2)
- February 2012 (1)
- January 2012 (1)
- October 2011 (11)
- September 2011 (13)
- August 2011 (5)
- July 2011 (7)
- June 2011 (8)
- May 2011 (3)
- April 2011 (7)
- March 2011 (2)
- February 2011 (2)
- December 2010 (2)
- November 2010 (5)
- October 2010 (3)
- September 2010 (6)
- August 2010 (3)
- June 2010 (4)
- May 2010 (3)
- April 2010 (3)
- March 2010 (2)
- February 2010 (6)
- January 2010 (16)
- December 2009 (6)
- November 2009 (2)
- October 2009 (7)
- September 2009 (12)
- August 2009 (4)
- July 2009 (4)
- June 2009 (4)
- May 2009 (4)
6 abril, 2010 - 16:12
Lo acabo de probar y fue testeado con McAfee, luego con el nombrado NOD32 y el AviraAntivir…
Increible… no hay mas palabras.
Ahora me remitire a revisar el Codigo Fuente C# (que no es mi fuerte):) y luego os contactare para cualquier duda…
Nuevamente Gracias
6 abril, 2010 - 16:16
Muchas gracias por el comentario.
Lamentablemente, no puedo divulgar el código fuente de la herramienta.
Por cualquier consulta, no dudes en escribirme
Saludos,
6 abril, 2010 - 17:24
Matias, buen trabajo!! Como hago para parar el KL en el momento que yo lo desee? O tengo que esperar a que aparezca el mensaje?
Gracias
6 abril, 2010 - 17:27
Javier, gracias por el comentario.
La app figura en la lista de tareas, siempre podes matarla a través del Task Manager.
7 abril, 2010 - 14:48
Realmente no es increible para entenderlo, primero hay que entender que los antivirus funcionan a base de deteccion de firmas, las firmas son partes del codigo del virus que lo identifican, y por lo tanto los hacen detectables, cualqueir programa de indole maliciosa pasara sin ser detectado cuando este es realizado para un ataque especifico. pues este no tendra una firma para ser identificado.
7 abril, 2010 - 15:32
Gabriel, gracias por tu comentario.
Aunque técnicamente tienes razón en lo que dices, la particularidad de esta aplicación es que está escrita en C#, el cual es un lenguaje de programación de alto nivel e interactúa con APIs de sistema operativo a través de su Framework, hecho que dificulta significativamente la ofuscación de código malicioso, beneficiando al ente escaneador.
La mayoría de los buenos virus informáticos son escritos en lenguajes de bajo nivel que interactúan con el OS directamente, dificultando su detección.
Saludos desde Buenos Aires
7 abril, 2010 - 18:03
el kis no lo detecta
8 abril, 2010 - 18:49
Matias interesante el programa, lo probe con el Kaspersky antivirus version 6 y no lo detecto, lastima que no pueda publicar el fuente..
8 abril, 2010 - 22:57
Estaba bueno como para testear pero….. ya “ESET SS” lo detecta como “MSIL/Spy.Keylogger.AI Troyano”
8 abril, 2010 - 23:43
Cristian,
Hace 2 días el ESET SS no lo detectaba, se ve que dentro de los tantos que me pidieron el link de descarga de la app había alguien adentro del team que pudo agregarlo a la base de firmas
9 abril, 2010 - 12:54
Es una lastima!!!!
9 abril, 2010 - 16:19
@Cristian
Cristian, al contrario.
Es bueno saber que la comunidad de antivirus se mueve lo suficientemente rápido como para frenar nuevas amenazas
4 abril, 2011 - 20:32
Y si lo ocultan con Window Hide Tool se pueden hacer cositas.
5 abril, 2011 - 00:37
Guillermo,
Puede ser, puede ser …..
24 abril, 2011 - 00:42
Buenas Noches, Matias.
Excelente trabajo, te Felicito,cualquier ayuda Puedes contar Conmigo.
Una Consulta, Para este keylogger estas utilizando Encriptación Reversible?.
Saludos, desde Republica Dominicana.
24 abril, 2011 - 01:26
Ney,
Gracias por escribir
Tu ofrecimiento sera considerado si deseo progresar en el proyecto de desarrollo del keylogger, sin embargo al servir 100% como herramienta de pentesting (como actualmente se usa para muchos profesionales de varios lugares del mundo), no estoy considerando actualizarlo.
No use ningun tipo de encriptacion ni encoding, esa es una de las bellezas de esta app
Saludos desde Argentina!
30 julio, 2011 - 15:28
Instalado y analizado en un Win7 con Kaspersky Anti virus 6.0 actualizado el dia 30 de Julio de 2011 y….. no lo detecta….
Felicitaciones Matias y que buen trabajo, estare al tanto de nuevos proyectos
1 agosto, 2011 - 13:56
Felip3, excelente! Gracias por el testing y el feedback!
Estate atento, en cuanto tenga un tiempo libre voy a publicar un par de cosas más
Saludos!
13 agosto, 2011 - 05:54
Que tal muy bueno el aporte, seria bueno que lo actualices para que sea de nuevo indetectable, pues ahora lo ecuentran 13 antivirus, te paso el link actualizado:
http://www.virustotal.com/file-scan/report.html?id=6abe2f5ad6feafc91b480f666283eb1061b7319abb507fc647f988cfebbd84df-1303249512
13 agosto, 2011 - 15:50
Jorge, efectivamente ya tiene mejor detección.
No voy a publicar nuevas versiones que no se detecten, ya que con esto alcanza y sobra para hacer una buena PoC
Saludos!