4Jul
Wiele laptopów HP wydanych w 2015 i 2016 r. Ma poważny problem. Sterownik audio dostarczony przez Conexant ma włączony kod debugowania i rejestruje wszystkie twoje naciśnięcia klawiszy w pliku lub drukuje je w dzienniku debugowania systemu, gdzie złośliwe oprogramowanie może je podsłuchiwać, nie wyglądając zbyt podejrzanie. Oto, jak sprawdzić, czy twój komputer jest uszkodzony.
Dlaczego mój laptop HP rejestruje moje naciśnięcia klawiszy?
HP twierdzi, że nie ma dostępu do tych danych, a dany keylogger nie wydaje się złośliwy. Nie ma dowodów na to, że keylogger rzeczywiście robi cokolwiek z naciśnięciami klawiszy, które przechwytuje, nie zapisując ich na komputerze. Jednak może to być niebezpieczne, ponieważ wrażliwy dziennik naciśnięć klawiszy będzie dostępny dla złośliwego oprogramowania i może być przechowywany w kopiach zapasowych. Innymi słowy, to nie jest złość - po prostu niekompetencja.
Wygląda na to, że debugujesz kod w sterowniku audio Conexant, kod, który powinien zostać usunięty przez Conexant przed dostarczeniem sterownika na komputer. Część sterownika, która nasłuchuje klawiszy skrótu do multimediów, automatycznie rejestruje klucze, które widzisz, naciskając. Zostało odkryte przez badaczy z Modzero.
Jak sprawdzić, czy Keylogger jest aktywny
Wygląda na to, że zachowuje się różnie na różnych laptopach HP, w zależności od wersji sterownika audio, który dołącza. Na wielu laptopach keylogger zapisuje naciśnięcia klawiszy w pliku C: \ Users \ Public \ MicTray.log. Ten plik jest czyszczony przy każdym rozruchu, ale może być przechwytywany i przechowywany w kopiach zapasowych systemu.
Przejdź do katalogu C: \ Users \ Public \ i sprawdź, czy masz plik MicTray.log. Kliknij dwukrotnie, aby wyświetlić zawartość.Jeśli zobaczysz informacje o naciśnięciach klawiszy, masz zainstalowany sterownik problemu.
Jeśli widzisz dane w tym pliku, będziesz chciał usunąć plik MicTray.log z jakichkolwiek kopii zapasowych systemu, który może być częścią, aby zapewnić usunięcie zapisów twoich naciśnięć klawiszy. Powinieneś również usunąć z tego pliku MicTray.log, aby skasować zapis twoich naciśnięć klawiszy.
Nawet jeśli nie widzisz pliku MicTray.log, twój laptop HP mógł wcześniej nagrywać sekwencje klawiszy do tego pliku, zanim pobierze aktualizację automatyczną, która go zatrzymała. Powinieneś sprawdzić wszelkie kopie zapasowe utworzone na twoim komputerze i usunąć plik MicTray.log, jeśli go widzisz.
W naszym HP Spectre x360 widzieliśmy plik MicTray.log, ale miał on rozmiar 0 KB.Jednak nawet jeśli żadne dane nie są drukowane w tym pliku, każde naciśnięcie klawisza może zostać wydrukowane za pomocą interfejsu API Windows OutputDebugString. Każda aplikacja uruchomiona na bieżącym koncie użytkownika może wyświetlać te informacje dotyczące debugowania i przechwytywać każde naciśnięcie klawisza, nie robiąc niczego, co wydaje się podejrzane w programach antywirusowych.
Aby sprawdzić, czy tak się dzieje, pobierz i uruchom aplikację DebugView firmy Microsoft. Spójrz na aplikację DebugView i naciśnij kilka klawiszy na klawiaturze.
Jeśli sterownik dźwięku Conexant przechwytuje naciśnięcia klawiszy i drukuje je jako komunikaty debugowania, zobaczysz wiele linii "Mic target", z których każdy ma kod scancode. Informacje w każdym wierszu identyfikują naciśnięty klawisz, więc ta informacja może zostać zdekodowana w celu przechwycenia każdego naciśniętego klawisza w kolejności ich naciśnięcia, jeśli aplikacja nasłuchiwała dziennika debugowania na komputerze.
Jeśli nie widzisz pliku MicTray.log z naciśniętymi klawiszami i nie masz wyjścia "Mic target" widocznego w DebugView, gratulacje. Twój system nie ma zainstalowanego i uruchomionego wadliwego sterownika audio.
Jak zatrzymać Keylogger
Jeśli widzisz plik MicTray.log wypełniony danymi lub możesz zobaczyć dane wyjściowe debugowania "Mic target" widoczne w DebugView, masz zainstalowany niebezpieczny sterownik dźwięku keyloggera i powinieneś go wyłączyć lub usunąć.
Rozwiązania tego problemu pojawią się za pośrednictwem witryny Windows Update na zagrożonych komputerach przenośnych. Poprawka do laptopów wydana w 2016 r. Została dodana do witryny Windows Update 11 maja, natomiast wersja do laptopów wydana w 2015 r. Ma nadejść 12 maja. Przejdź do Ustawienia & gt;Zaktualizuj &bezpieczeństwo & gt;Windows Update, aby upewnić się, że masz najnowsze aktualizacje.
Jeśli poprawka nie została jeszcze wydana lub z jakiegoś powodu nie można uruchomić witryny Windows Update, można usunąć oprogramowanie, które powoduje problem. Będziesz musiał usunąć plik MicTray.exe lub MicTray64.exe. Zapobiegnie to funkcjonowaniu niektórych klawiszy funkcyjnych multimediów na klawiaturze, ale jest to tymczasowa, niewielka cena za bezpieczeństwo.
Najpierw otwórz Menedżera zadań, klikając prawym przyciskiem myszy pasek zadań i wybierając "Menedżer zadań".Kliknij "Więcej szczegółów", kliknij kartę "Szczegóły", znajdź plik MicTray64.exe lub MicTray.exe na liście, kliknij go prawym przyciskiem myszy i wybierz "Zakończ zadanie".
Następnie zlokalizuj plik wykonywalny MicTray w systemie i usuń go. Naukowcy wskazują, że ten plik często znajduje się w C: \ Windows \ system32 \ MicTray.exe lub C: \ Windows \ system32 \ MicTray64.exe. Jednak w naszym systemie znaleźliśmy go w C: \ Program Files \ CONEXANT \ MicTray \ MicTray64.exe.
Kiedy Windows Update zainstaluje zaktualizowany sterownik w przyszłości, powinien zainstalować nowy plik wykonywalny MicTray, który naprawi problem i ponownie włączy klawisze funkcyjne klawiatury.
Photo Credit: Amanz Network / Flickr