El keylogger parece estar enviando correos electrónicos usando Gmail, pero la comunicación SMTP está cifrada con TLS (SSL).
Simple Mail Transfer Protocol
Command Line: STARTTLS\r\n
Command: STAR
Request parameter: TLS
Simple Mail Transfer Protocol
Response: 220 2.0.0 Ready to start TLS\r\n
Response code: <domain> Service ready (220)
Response parameter: 2.0.0 Ready to start TLS
Puede usar Fiddler en el host que ejecuta el keylogger para interceptar los mensajes SMTP antes de que estén cifrados con TLS (SSL) . Fiddler intercepta las aplicaciones basadas en Windows WinINET para que no intercepte todas las conexiones SSL.
Fiddler es un proxy de depuración web que
registra todo el tráfico HTTP (S) entre su
ordenador e internet. Violinista
le permite inspeccionar todos los HTTP (S)
tráfico, establecer puntos de interrupción y "violín"
con datos entrantes o salientes.
El violinista incluye un poderoso.
subsistema de scripting basado en eventos, y
Puede ser extendido usando cualquier .NET
idioma.
Si el keylogger envía un correo electrónico, significa que recogerá las claves durante un período de tiempo determinado y luego enviará el correo electrónico. Lo que significa que tendrá que almacenar esas llaves en algún lugar. Las escrituras de archivos de seguimiento para ese keylogger pueden señalarle a su caché y tal vez el archivo de clave indique si el keylogger está apuntando a Runescape o al usuario. Recomiendo Process Monitor para rastrear las escrituras de archivos.
Una forma diferente de encontrar la dirección de correo electrónico de destino es depurando el keylogger. Podría comenzar con un volcado de memoria y una búsqueda de cadenas. Primero, identifica el proceso del keylogger siguiendo las escrituras que ocurren después de presionar las teclas, luego usa Process Explorer para buscar las cadenas desde el volcado de memoria del proceso.
OllyDBG y un poco de paciencia puede ser útil para depurar el código del keylogger al establecer puntos de interrupción en las funciones SMTP y luego inspeccionar la memoria para las direcciones de correo electrónico.