Geklaute Passwörter aufspüren

Zwei Tools entschlüsseln die Keyloggerdateien von Fizzer und Bugbear.B, in der auch Passwörter enthalten sein können. Der Virenexperte Andreas Marx von GEGA IT-Solutions stellt auf den Seiten von AV-Test.ORG den Fizzer-Decryptor und den Bugbear.B-Decryptor zur Verfügung. Die "Verschlüsselungsalgorithmen" der Würmer basieren auf dem trivialen Austausch von Buchstaben gegeneinander und dem Verschieben der Zeichentabelle. Die Programme machen dies wieder rückgängig. Sie sind für DOS und Windows geschrieben und stehen unter der GPL, der Sourcecode wird daher gleich mitgeliefert und darf modifiziert werden.

Fizzer und Bugbear.B enthalten nicht nur Schadroutinen zur Verbreitung per E-Mail, sondern auch Keylogger. Hat man auf einem infizierten Rechner ein Passwort eingegeben, so ist dies mit hoher Wahrscheinlichkeit mitprotokolliert worden. Fizzer legt die mitgeschnittenen Daten in der Datei iservc.klg ab, während Bugbear.B eine Datei mit der Endung DAT oder DLL erzeugt. Die Dateien sind verschlüsselt und werden von den Würmern per Mail versendet. Hat man eine Infektion festgestellt, kann man nun mit den Tools diese Dateien entschlüsseln und überprüfen, ob Passworteingaben mitgeloggt wurden. (dab)