Keyloggery są jednym z bardziej szkodliwych programów, które mogą trafić na nasz komputer. Monitorują one naszą klawiaturę i na bieżąco rejestrują wszystkie przyciski, które wciskamy. Dane te są następnie wysyłane do osoby, która nam podrzuciła keyloggera, w celu wykradnięcia danych dostępowych do stron.

Jak wykryć i usunąć keyloggera

Wykradanie danych za pomocą keyloggerów jest bardzo popularne nie tylko w kontekście dostępu do loginów bankowych, ale także w świecie gier online. Keyloggery są przyczyną utraty kont do gier przez wielu graczy. Jak z nimi zatem walczyć poza zainstalowaniem programów antywirusowych?

Keyloggery mają jedną wadę - aby stale monitorować naszą klawiaturę muszą stale działać w tle. Oznacza to, że na naszym komputerze jest ciągle uruchomiony jakiś proces bądź usługa, która jest połączona z obcym adresem IP i na bieżąco wysyła wszystkie dane z naszego komputera. Mając to na uwadze możemy skorzystać z dość prostej metody, która umożliwi nam wykrycie działającego w komputerze keyloggera.

Do wykrycia keyloggera użyjemy wiersza polecenia w systemach Windows. Otwieramy zatem menu Start, a następnie w polu wyszukiwania wpisujemy “cmd” (bez cudzysłowów) i potwierdzamy klawiszem [Enter].

Wiersz polecenia - wyszukujemy keyloggera

W nowym oknie wiersza polecenia możemy wydać odpowiednią komendę, która wyświetli nam listę wszystkich aktywnych połączeń w naszym komputerze. Wpisujemy w tym celu następujące polecenie: “netstat -ano” (bez cudzysłowów) i potwierdzamy “enterem”.

Wyświetlona zostanie teraz lista wszystkich aktywnych połączeń w komputerze. Przy każdym połączeniu wyświetlany jest protokół, port, rodzaj połączenia, a także adres IP, z którym utrzymywane jest połączenie. Potencjalny keylogger może się ukrywać pod połączeniem, które posiada stan “Nasłuchiwanie”. Takich połączeń z pewnością trochę znajdziemy na liście, ale nie musimy się nimi przejmować dopóki wskazują one na pusty adres lub na IP 0.0.0.0.

Lista aktywnych połączeń w systemie

Jeżeli jednak znajdziemy połączenie o stanie “Nasłuchiwanie” i będzie ono wskazywało na obcy adres IP, który nie jest ciągiem zer i wiadomo, że należy do obcego użytkownika internetu, to należy się zaniepokoić, gdyż może to być zwiastun zainstalowanego keyloggera lub innego szkodliwego programu, który wykrada dane z naszego dysku.

Jak zidentyfikować keyloggera?

Gdy spotka nas to nieszczęście i faktycznie znajdziemy aktywne połączenie z obcym adresem, to należy zwrócić na kolejną z dostępnych kolumn - na “PID”. Przy każdym połączeniu na liście wyświetlane jest ID połączenia. Większość keyloggerów skrywa się pod płaszczem działającej w systemie usługi. Znając jednak numer PID możemy szybko zidentyfikować szkodliwą usługę i ją wyłączyć.

Aby zidentyfikować usługę z keyloggerem, należy otworzyć menedżera zadań (prawy klik na pasku zadań > Otwórz menedżera zadań), a następnie w nowym oknie udać się do zakładki “Usługi”.

Usługi systemowe - porównanie numerów PID

Zauważymy, że wyświetlana jest lista usług, a przy każdej z nich widnieje numer PID. Możemy teraz posortować listę po numerach PID, a następnie porównać identyfikator aktywnego połączenia z wiersza polecenia do usługi w menedżerze zadań i ją po prostu zamknąć.

Po zamknięciu usługi przerwiemy połączenie keyloggera z napastnikiem, ale nie znaczy to, że usuniemy szkodnika całkowicie. Aby to zrobić, należy zaopatrzyć się w dobre oprogramowanie antywirusowe i przeskanować swój komputer.