Como encontrar e remover keylogger?

matheus795 · 06 de Outubro de 2015, 13:59

Olá, minha namorada usa o Ubuntu há dois anos. Recentemente, ela teve sua conta do GMAIL hackeada. Nós desconfiamos que ela tenha sido infectada por um keylogger. Como fazemos para encontrá-lo e removê-lo?

Anderson_Coelho · 06 de Outubro de 2015, 16:23

A possibilidade disso ter acontecido é mínima. O mais provável é que a segurança da rede que ela estava acessando esteja compremetida. Por exemplo, uma pessoa mal intencionada teve acesso ao roteador (através de um malware em um PC Windows conectado na rede) e pronto, altera o DNS do roteador, podendo roubar senhas independente se o SO do computador esteja seguro ou nao.

Portanto, ao usar a internet a partir de uma rede que você não confia, é recomendado, no primeiro momento, tentar digitar a senha errada. Assim, o cracker vai vê-la e não saberá que ela é errada. Aí depois você pode entrar com a senha certa e fazer o acesso. Isso minimiza os riscos.

Então verifique a segurança das redes que ela usa. Se tiver acesso ao roteador, resete e, no mínimo, mude a senha de administrador (você também pode esconder SSID, usar autenticação por MAC para ter mais segurança ainda). Se não tiver acesso, contate o administrador da rede.

No mais, se quiser verificar o seu Linux, tem o ClamAV. Embora eu ache que ele seja mais indicado para tirar pragas de Windows, você pode usá-lo.

Para instalar, abra o terminal e digite:

Código Selecionar

sudo apt-get update && sudo apt-get install clamav

Depois atualize a base de vírus:

Código Selecionar

sudo freshclam

E execute um escaneamento:

Código Selecionar

clamscan -r -i /

Se o ClamAV detectar alguma coisa, o comando retornará os arquivos infectados, mas não tomará nenhuma ação contra isso. Então, será necessário analisar e excluir os arquivos (é preciso considerar que poderá haver falsos positivos).

Existem antivírus pagos também, como o NOD32 e outros mais completos que soluções gratuitas.

Agora, se está sismado com isso mesmo, qualquer coisa formate e tire isso da cabeça.

Mais uma coisa: como tem certeza que a conta foi realmente foi hackeada? Não sei se é o caso, mas pesquise sobre spoofing. E talvez até uma simples troca de senha resolva.

Tota · 06 de Outubro de 2015, 16:39

Apenas um detalhe, acho que de minima importância:

O Clamav não localiza keyloggers, apenas virus.

Se um keylogger estiver rodando, seu(s) processo(s) estarão visiveis

Use

Código Selecionar

sudo ps -aux
ou

Código Selecionar

sudo htoppara ver se algo suspeito está rodando.

Temos como keyloggers os: lkl, uberkey, THC-vlogger, PyKeylogger, logkeys (este tem nos repositórios)

O mais comum mesmo, é sua namorada ter usado uma senha fraca no Gmail. Usando uma senha "forte" com letras (maiúsculas e minúsculas), números e caracteres especiais fica muito mais difícil hackear contas.

Meujacaréfoipralagoa é fácil de quebrar. Já, M3uJ@c@r3f0iPr@LaG04 demoraria uns bons anos para ser decifrada.[/code]

matheus795 · 06 de Outubro de 2015, 16:54

Obrigado por responderem, eu tenho mais algumas perguntas dentro do mesmo assunto:

@Anderson_Coelho: Entendo que quem baixa dos repositórios não pega vírus, mas ela baixou alguns emuladores de vg para Linux pelo Firefox. Acho que algum deles pode ter sido um próprio keylogger disfarçado. É possível?

@Tota: Uso Linux só pra surfar na rede, então não entendo muito bem, pode me explicar uma coisa, como eu encontraria o keylogger dentro da lista dos processos? Ele estaria com o nome real ex: LogKeys, ou poderia estar disfarçado com qualquer outro nome?

Tota · 06 de Outubro de 2015, 17:03

Bem, ou voce pesquisa pelos nomes desconhecidos a voce na rede, ou posta o resultado do comado para o forum ajudar.

Dificilmente ele teeria um nome trocado ou diferente.

matheus795 · 06 de Outubro de 2015, 17:30

Citação de: Tota online 06 de Outubro de 2015, 17:03
Bem, ou voce pesquisa pelos nomes desconhecidos a voce na rede, ou posta o resultado do comado para o forum ajudar.

Dificilmente ele teeria um nome trocado ou diferente.

Valeu pela ajuda, vou formatar a máquina, assim teremos menos dor de cabeça.

Anderson_Coelho · 07 de Outubro de 2015, 09:33

Citação de: matheus795 online 06 de Outubro de 2015, 16:54
@Anderson_Coelho: Entendo que quem baixa dos repositórios não pega vírus, mas ela baixou alguns emuladores de vg para Linux pelo Firefox. Acho que algum deles pode ter sido um próprio keylogger disfarçado. É possível?

É possível. O recomendado é baixar apenas de fontes confiáveis, mas mesmo considerando outras fontes, é difícil ocorrer alguma infecção. Mas eu pessoalmente não arrisco. Qualquer coisa, informe sobre esses emuladores e lembre-se de ficar atento quanto às configurações do roteador da rede que acessar.

matheus795 · 07 de Outubro de 2015, 14:25

Citação de: Anderson_Coelho online 07 de Outubro de 2015, 09:33
Citação de: matheus795 online 06 de Outubro de 2015, 16:54
@Anderson_Coelho: Entendo que quem baixa dos repositórios não pega vírus, mas ela baixou alguns emuladores de vg para Linux pelo Firefox. Acho que algum deles pode ter sido um próprio keylogger disfarçado. É possível?

É possível. O recomendado é baixar apenas de fontes confiáveis, mas mesmo considerando outras fontes, é difícil ocorrer alguma infecção. Mas eu pessoalmente não arrisco. Qualquer coisa, informe sobre esses emuladores e lembre-se de ficar atento quanto às configurações do roteador da rede que acessar.

Obrigado pela ajuda.