4Jul

Come verificare se il tuo laptop HP ha il keylogger Conexant

Molti portatili HP rilasciati nel 2015 e nel 2016 hanno un grosso problema. Il driver audio fornito da Conexant ha abilitato il codice di debug e registra tutte le sequenze di tasti in un file o le stampa nel registro di debug del sistema, dove il malware potrebbe curiosare su di esse senza sembrare troppo sospetto. Ecco come verificare se il tuo PC è interessato.

Perché il mio portatile HP registra le mie sequenze di tasti?

HP afferma di non avere accesso a questi dati e il keylogger in questione non sembra essere dannoso. Non ci sono prove che il keylogger faccia effettivamente qualcosa con le sequenze di tasti che cattura oltre a salvarle sul PC.Tuttavia, questo potrebbe essere pericoloso, in quanto quel registro sensibile di sequenze di tasti sarebbe disponibile per il malware e potrebbe essere archiviato nei backup. In altre parole, non è malizia, solo incompetenza.

Sembra che sia il codice di debug nel driver audio Conexant, codice che dovrebbe essere stato rimosso da Conexant prima che il driver fosse spedito su PC.La parte del driver che ascolta i tasti di scelta rapida dei supporti registra automaticamente i tasti che vede premere.È stato scoperto dai ricercatori di Modzero.

Come verificare se il keylogger è attivo

Sembra che ci sia un comportamento diverso su diversi laptop HP, a seconda della versione del driver audio che includono. Su molti laptop, il keylogger scrive le sequenze di tasti nel file C: \ Users \ Public \ MicTray.log. Questo file viene cancellato ad ogni avvio, ma può essere catturato e archiviato nei backup di sistema.

Passare a C: \ Users \ Public \ e vedere se si dispone di un file MicTray.log. Fare doppio clic per visualizzare il contenuto. Se vedi le informazioni sui tuoi tasti, hai installato il driver problema.

Se si vedono i dati in questo file, si desidera eliminare il file MicTray.log da qualsiasi backup di sistema di cui fa parte per garantire che i record delle sequenze di tasti vengano cancellati. Dovresti anche cancellare il file MicTray.log da qui per cancellare il record dei tuoi tasti.

Anche se non si vede il file MicTray.log, il laptop HP potrebbe aver precedentemente registrato le sequenze di tasti su questo file prima di scaricare un aggiornamento automatico che lo interrompeva. Dovresti esaminare tutti i backup creati dal tuo PC e rimuovere il file MicTray.log, se lo vedi.

Sul nostro HP Spectre x360, abbiamo visto il file MicTray.log ma aveva una dimensione di 0 KB.Tuttavia, anche se non vengono stampati dati su questo file, ogni singolo tasto digitato può essere stampato tramite l'API OutputDebugString di Windows. Qualsiasi applicazione in esecuzione nell'account utente corrente può visualizzare queste informazioni di debug e acquisire ogni tasto digitato, senza fare nulla che possa apparire sospetto ai programmi antivirus.

Per verificare se questo sta accadendo, scaricare ed eseguire l'applicazione DebugView di Microsoft. Guarda l'applicazione DebugView e premi alcuni tasti sulla tastiera.

Se il driver audio Conexant sta acquisendo sequenze di tasti e li stampa come messaggi di debug, vedrai molte linee "Mic target", ognuna con un codice di scancode. Le informazioni su ciascuna riga identificano il tasto premuto, quindi queste informazioni possono essere decodificate per acquisire ogni tasto premuto nell'ordine in cui vengono premuti, se un'applicazione è in ascolto nel registro di debug del PC.

Se non vedi un file MicTray.log con le sequenze di tasti al suo interno e non hai alcun output "Mic target" visibile in DebugView, congratulazioni. Il sistema non ha il software del driver audio buggy installato e funzionante.

Come fermare il keylogger

Se vedi il file MicTray.log pieno di dati o puoi vedere l'output di debug "Mic target" visibile in DebugView, hai il pericoloso driver audio keylogging installato e dovresti disabilitarlo o rimuoverlo.

Le correzioni a questo problema arriveranno tramite Windows Update sui laptop interessati. Una correzione per portatili rilasciata nel 2016 è stata aggiunta a Windows Update l'11 maggio, mentre una correzione per portatili rilasciata nel 2015 è prevista per il 12 maggio. Vai a Impostazioni & gt;Aggiorna &sicurezza & gt;Windows Update per assicurarti di avere gli ultimi aggiornamenti.

Se la correzione non è ancora stata rilasciata o se non è possibile eseguire Windows Update per qualche motivo, è possibile rimuovere il software che causa il problema. Sarà necessario eliminare il file MicTray.exe o MicTray64.exe. Ciò impedirà il funzionamento di alcuni tasti funzione della tastiera sulla tastiera, ma questo è un piccolo prezzo temporaneo da pagare per la sicurezza.

Per prima cosa, apri Task Manager facendo clic con il pulsante destro del mouse sulla barra delle applicazioni e selezionando "Task Manager".Fare clic su "Ulteriori dettagli", fare clic sulla scheda "Dettagli", individuare MicTray64.exe o MicTray.exe nell'elenco, fare clic con il tasto destro del mouse e selezionare "Termina operazione".

Quindi, individuare il file eseguibile di MicTray sul proprio sistema ed eliminarlo. I ricercatori indicano che questo file si trova spesso in C: \ Windows \ system32 \ MicTray.exe o C: \ Windows \ system32 \ MicTray64.exe. Tuttavia, sul nostro sistema, lo abbiamo trovato in C: \ Programmi \ CONEXANT \ MicTray \ MicTray64.exe.

Quando Windows Update installa un driver aggiornato in futuro, dovrebbe installare un nuovo eseguibile MicTray che risolverà il problema e riabiliterà i tasti funzione della tastiera. Photo Credit

: Amanz Network / Flickr