یك payload بسیار معمولی مورد استفاده بسیاری از بدافزارهای سرقت كلمه عبور، نرم افزار ثبت ضربات صفحه كلید (keylogger) است و هدف از ثبت ضربات صفحه كلید این است كه ضربات صفحه كلید كاربر ضبط شود و اطلاعات اعتباری وی و لینكها به منابع داخلی و خارجی جمعآوری شود.
از این رو مرکز ماهر ایران اعلام کرد: اخیرا بدافزار موسوم به مارمولك كه یك نرم افزار ایرانی ثبت ضربات صفحه كلید است با MD5 برابر با F09D2C65F0B6AD55593405A5FD3A7D91 شناسایی شده است.
نخستین ظهور این keylogger به یك فروم در خاورمیانه باز میگردد. اگرچه ممكن است برخی keylogger ها ضربات صفحه كلید را برای مقاصد قانونی ثبت کنند اما این نرمافزار قربانیان خود را با یك payload پنهان گمراه میسازد. به نظر میرسد كه تولید كننده این بدافزار با قرار دادن آن در فروم مذكور، قصد حمله به سایر اعضای این فروم را داشته كه این كار تكنیكی مرسوم است.
نویسندگان بدافزارها اغلب برای جلوگیری از شناسایی شدن، از ابزارهای ارزان و سادهای استفاده میكنند كه بدافزار را با یك برنامه runtime فشرده سازی یا رمزگذاری، تغییر میدهد؛ البته در این مورد خاص، فایلهای مرتبط توسط یك نسخه تغییر یافته از ابزار مشهور UPX پنهان شدهاند.
این فایل در هنگام اجرا یك كپی از خود با نام Mcsng.sys در فولدر Sysytem32 ایجاد میكند. این بدافزار همچنین پروسهای را اجرا میكند كه فایل 1stmp.sys را در فولدر system32\config جایگذاری كرده و مینویسد.
اگرچه پسوند این فایل .sys (فایل سیستمی) است، اما در حقیقت این فایل سیستمی نیست. هدف این فایل این است كه به عنوان یك فایل لاگ عمل كند كه محتوی ضربات صفحه كلید كاربر است كه به صورت رمز شده ذخیره شدهاند. هربار كه یك كلید فشرده میشود، این پروسه ضربات صفحه كلید را ثبت میكند، آن را رمز كرده و به 1stmp.sys اضافه میكند.
اگرچه الگوریتم رمزگذاری مورد استفاده برای این كار ساده است، ولی از رمزگذاری انتخابی با دو تكنیك استفاده میكند: هر بایت درصورتیكه فرد باشد با استفاده از تكنیك 1 رمز میشود و درصورتیكه زوج باشد، با استفاده از تكنیك 2 رمزگذاری خواهد شد؛ براین اساس پس از رمزگشایی نه تنها ضربات صفحه كلید قابل مشاهده هستند، بلكه اطلاعات زمانی ثبت این اطلاعات نیز قابل مشاهده است.
پس از ثبت و رمز گذاری ضربات صفحه كلید، این بدافزار این اطلاعات را برای نویسنده خود ایمیل میكند.
این بدافزار همچنین نام كامپیوتر و نام كاربر را نیز برای سازنده خود میفرستد.
لاگ رمز شده به آدرس marmoolak@red-move.tk ارسال می شود كه بر روی دامنهای میزبانی میشود كه به میزبانی بدافزارها مشهور است.
مكآفی این تروجان keylogger و نسخههای مختلف آن را با عنوان Keylog-FAG میشناسد.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ایران به کاربران ایرانی هشدار داد: برای جلوگیری از آلوده شدن توسط انواع keylogger ها، باید آنتیویروس خود را بهروز نگه داشته و از منابع نامطمئن دانلود نكنند.