На вашем устройстве HP может быть установлен кейлоггер
Прямо из Швейцарии приходит отчет охранной фирмы Modzero AG о кейлоггере в аудиодрайверах некоторых устройств HP.
Кейлоггер встроен в драйвер, записывает все нажатия клавиш, сделанные пользователями системы, и сохраняет их все в файл журнала MicTray.log в папке C: \ Users \ Public \ компьютерной системы. Обратите внимание, что файл журнала записывается в общую папку, а не в папку пользователя.
В отчете возникает несколько вопросов. Во-первых, почему кейлоггер находится в аудиодрайвере, а во-вторых, как убедиться, что он не работает на ваших устройствах HP.
Второй вопрос более актуален, чем первый. Итак, давайте начнем с этого, а потом обратимся к первому вопросу.
Обнаружение
Первое, что вам нужно знать, это то, что это влияет только на устройства HP. Компания перечисляет модели HP EliteBook, HP ProBook, HP Elite и HP ZBook на своем веб-сайте, а также операционные системы Windows 7 и Windows 10. Вы можете ознакомиться с полным списком затронутых устройств. Вот.
Modzero предлагает пользователям проверить, существуют ли файлы C: \ Windows \ System32 \ MicTray64.exe и C: \ Windows \ System32 \ MicTray.exe, и, если они есть, удалить или переименовать исполняемые файлы, чтобы остановить кейлоггер.
Кроме того, пользователям необходимо проверить наличие файла C: \ Users \ Public \ MicTray.log и, если он существует, удалить его. Поскольку все нажатия клавиш записываются в текстовый файл, он может содержать конфиденциальную информацию, такую как данные аутентификации, номера кредитных карт и личные сообщения чата или электронные письма. Обратите внимание, однако, что файл перезаписывается после каждого входа в систему.
Хотя это лучше, чем если бы он не был перезаписан, резервные копии, история файлов или другие службы, которые создают копии файла, могли сохранить его предыдущие версии. Если вы запустите их, убедитесь, что вы удалили информацию из них, чтобы избежать потенциальных утечек.
Короче говоря:
- Проверьте, существует ли C: \ Windows \ System32 \ MicTray64.exe. Если это так, удалите файл или переименуйте его.
- Проверьте, существует ли C: \ Windows \ System32 \ MicTray.exe. Если это так, удалите файл или переименуйте его.
- Проверьте, существует ли C: \ Users \ Public \ MicTray.log. Если это так, удалите файл.
Некоторая справочная информация
Исполняемый файл MicTray (в его 64-битном и / или 32-битном варианте) устанавливается вместе с аудиодрайвером Conexant. Программа запланирована на запуск сразу после входа пользователя в систему и начинает регистрировать нажатия клавиш сразу после запуска.
Его основная функция — обеспечивать функциональность между нажатиями клавиш на устройстве и некоторыми функциями аудиодрайвера, такими как отключение микрофона.
Modzero раскрывает следующее о компоненте кейлоггеров:
Мониторинг нажатий клавиш добавляется путем реализации низкоуровневой функции перехвата ввода с клавиатуры, которая устанавливается путем вызова SetwindowsHookEx ().
Вы, наверное, задаетесь вопросом, почему кейлоггер был добавлен в драйвер в первую очередь. У Modzero тоже есть ответ.
Фактически, цель программы — определить, была ли нажата или отпущена специальная клавиша. Однако вместо этого разработчик ввел ряд функций диагностики и отладки, чтобы гарантировать, что все нажатия клавиш либо транслируются через интерфейс отладки, либо записываются в файл журнала в общедоступном каталоге на жестком диске.
Пользователи, использующие уязвимые устройства, должны убедиться, что программное обеспечение не обновлено. Если он будет обновлен, в системе будут установлены новые версии программы кейлоггера, и регистрация начнется заново.
Вывод
Трудно оправдать интеграцию кейлоггера в программное обеспечение, и еще труднее понять, почему драйвер прошел контроль качества Microsoft как Вуди указывает на InfoWorld.
