¿Encontró KeyLogger en el sistema operativo Windows 10?

1

Estaba ejecutando Yara, el cuchillo suizo que combina patrones para los investigadores de malware en Windows 10.

Ejecuté un escaneo usando reglas de Yara Rules de YARA Rules Github y MalwareConfig.

Me topé con estos archivos DLL que tenían firmas que coincidían con los privilegios de escalado, y los keyloggers.

  • avicap32.dll
  • mscorlib.dll
  • AcGenerl.dll
  • accessibilitycpl.dll
  • adalsql.dll
  • AtBroker.exe
  • etc

Para mí tiene sentido AcGenerl.dll tiene firmas de keylogger porque maneja el teclado pero MsCorlib.dll? no tiene sentido por qué tiene estas firmas.

¿Alguna explicación de por qué algunas de estas DLL de Windows activan banderas? (No se ha comprobado por qué se recogieron mis reglas, sino específicamente los programas y las bibliotecas)

[Editar] Virus Total también dice que estos archivos no están infectados por un malware o un rootkit.

¿Podrían algunos de estos ser puertas traseras?

    
pregunta Sam Arnold 19.06.2017 - 18:28
fuente

1 respuesta

1
  • avicap32.dll es un proceso del sistema y utiliza la API de Windows para capturar AVI contenido formateado.
  • mscorlib.dll es multi-idioma (Microsoft) estándar Biblioteca de Common Object Runtime.
  • AcGenral.dll es la DLL de compatibilidad de Windows, podría ser el registro de información para ver si todo salió bien. No estoy seguro de esto.
  • accessibilitycpl.dll es la facilidad de acceso al panel de control. Es posible que la facilidad de acceso requiera permisos especiales para funcionar correctamente, el registro de claves podría ser uno.
  • adalsql.dll es la biblioteca de autenticación de Active Directory para SQL Server. Un servicio de autenticación maneja las cosas del teclado y tiene que registrarlas.
  • AtBroker.exe parece ser Transitions Accessible technologies entre escritorios. De acuerdo con fixoserror.com .

Parece que casi todos estos están manejando las acciones del teclado. Acerca de, mscorlib.dll también parece usarse durante la creación de keyloggers. En turkhackteam.org hay un subproceso keylogger y resultados de depuración que proporciona un archivo mscorlib. También sobre mscorlib este enlace StackOverflow puede darle algunas grandes ideas.

    
respondido por el Tuğberk Kaan Duman 20.06.2017 - 01:08
fuente

Lea otras preguntas en las etiquetas