Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
2 juin 2013 7 02 /06 /juin /2013 21:52

En regardant l'émission Capital sur M6, concernant l'espionnage dans le cadre du travail (sujet toujours intéressant... :) ) j'ai repéré qu'il était question apparemment de l'outil Revealer Keylogger.

 

J'ai voulu vérifier... et effectivement, un logiciel éponyme existe : http://www.logixoft.com/fr-fr/index On remarquera que la version payante propose des fonctions supplémentaires (http://www.logixoft.com/fr-fr/free-keylogger-download), proches du rootkit dans le principe : invisibilité dans le Gestionnaire des tâches, invisibilité dans l'Explorateur Windows (et non pas "sur le disque", à mon avis...), invisibilité dans les modules de démarrage (à vérifier quand même avec un Autoruns, mais soit).

 

Un doute me prend quant à la détection antivirale... Ouf, au moins, Windows Defender sous Windows 7 le détecte en natif ! (malheureusement, sous XP, par exemple, cela ne se produira pas par défaut).

Capture_Revealer-keylogger_020613.PNG

 

Voici ce que VirusTotal dit (https://www.virustotal.com/fr/file/f20f231ce7c5ec7a0c0ac285f50e4cffe5846a2b3ad77bbe1e8eaff7739faad0/analysis/1370203333/) :

 

SHA256: f20f231ce7c5ec7a0c0ac285f50e4cffe5846a2b3ad77bbe1e8eaff7739faad0
SHA1: 733aa0eccffb0ededda09670db209418e2a7c65c
MD5: 053b89c5eb2200969bc027c58f49bd74
Taille du fichier : 403.6 KB ( 413248 bytes )
Nom du fichier : rvlkl.exe
Type du fichier : Win32 EXE
Ratio de détection : 6 / 45
Date d'analyse :

2013-06-02 20:02:13 UTC (il y a 1 minute)  

 

Agnitum   20130602
AhnLab-V3   20130602
AntiVir   20130602
Antiy-AVL   20130602
Avast   20130602
AVG   20130602
BitDefender   20130602
ByteHero   20130529
CAT-QuickHeal   20130531
ClamAV   20130602
Commtouch   20130601
Comodo   20130602
DrWeb   20130602
Emsisoft Win64/KeyLogger.RevealerKeylogger.AMN (A) 20130602
eSafe   20130530
ESET-NOD32 a variant of Win64/KeyLogger.RevealerKeylogger.NAA 20130602
F-Prot   20130601
F-Secure   20130602
Fortinet   20130602
GData   20130602
Ikarus   20130602
Jiangmin   20130602
K7AntiVirus   20130531
K7GW   20130531
Kaspersky   20130602
Kingsoft   20130506
Malwarebytes Keylogger.Logixoft 20130602
McAfee   20130602
McAfee-GW-Edition   20130602
Microsoft MonitoringTool:Win32/RevealerKeylogger 20130602
MicroWorld-eScan   20130602
NANO-Antivirus   20130602
Norman   20130602
nProtect   20130602
Panda Suspicious file 20130602
PCTools   20130521
Rising   20130531
Sophos   20130602
SUPERAntiSpyware   20130602
Symantec   20130602
TheHacker   20130601
TotalDefense   20130602
TrendMicro   20130602
TrendMicro-HouseCall TROJ_GEN.F47V0526 20130602
VBA32   20130531
VIPRE   20130602
ViRobot   20130602

 

 

En d'autres termes, des solutions antivirus très courantes en entreprise, comme McAfee, Symantec, Sophos, et même Trend dans une certaine mesure, ne voient rien... D'autres solutions, répandues dans le grand public, comme AVAST ou Antivir, ne voient rien non plus :( Autrement dit, la discrétion peut être réelle pour une personne non sensibilisée (voire même à l'insu des administrateurs du parc, qui feront confiance à l'antivirus de la machine !). 

 

Pour ceux qui ont un doute, je recommanderais de lancer un scan avec par exemple Windows Defender Offline (http://windows.microsoft.com/fr-fr/windows/what-is-windows-defender-offline), ou le CD de ESET.

 

Merci néanmoins à Capital pour avoir tenté de sensibiliser le public sur le sujet, et avec des cas visiblement réalistes !

 

 

Partager cet article

Repost0

commentaires