è un keylogger per Windows d'altri tempi, quelli che usavano le mail per esfiltrare (SMTP) andavano forte circa 20 anni fa. Considera che quel codice dovrebbe compilare bene per .NET 2.0 che era già disponibile su Windows 98, anche se la parte opzionale di EnableLUA
e le chiavi di registro usate fanno capire che è pensato per Windows 7 e superiori. Il codice rilevante si trova tutto nel file Stub.cs
, quello che fa dipende dalle opzioni che metti, di base monitora i tasti premuti in un loop, li scrive su file "log.txt" e un altra copia in "Documenti\backup.txt", appena raggiunge 300 caratteri registrati chiede a ipify.org
quale sia l'indirizzo ip pubblico del pc, lo mette nell'oggetto della mail, e nel corpo i tasti premuti e resetta il contatore e il file (ma backup.txt rimarrà sempre per qualche motivo, con tutto lo storico). Se hai selezionato la roba delle password metterà in allegato il db che le contiene, però da solo è totalmente inutile visto che da anni Chrome cifra le password e i cookie con una chiave utente. Se lo apri da una working directory che non è quella che lo contiene la persistenza fallirà. Se non ha i permessi di scrittura sulla working directory ci sarà un crash quando prova a scrivere il log. Se lo apri due volte andrà in race condition, scriveranno entrambi sul file, tenendo due contatori diversi finché uno dei due non si becca un IOException che lo fa crashare. Visto che è single thread e usa GetAsyncKeyState
può perdersi parecchi tasti, specie se premuti in rapida successione o nel durante che sta interrogando ipify e fabbricando la mail per i 300 tasti precedenti. Per il resto direi che è abbastanza inutile ormai e mi sorprenderei se un antivirus aggiornato non lo rilevasse all'istante ancor prima di dare il tempo all'utente di farci click sopra.