Як перевірити, якщо ваш ноутбук HP має Conexant Keylogger
Багато ноутбуків HP, випущених у 2015 та 2016 роках, мають велику проблему. Звуковий драйвер, наданий компанією Conexant, увімкнув код відлагодження, і він або реєструє всі натискання клавіш у файлі, або роздруковує їх у системний журнал налагодження, де шкідливі програми можуть перехоплювати їх, не виглядаючи занадто підозріло. Нижче описано, як перевірити, чи впливає ваш комп'ютер.
Чому мій ноутбук HP реєструє мої натискання клавіш?
Компанія HP говорить, що вона не має доступу до цих даних, а ймовірна клавіатура не є шкідливою. Немає жодних доказів того, що кейлоггер насправді нічого не робить з натисканнями клавіш, які він захоплює, крім збереження їх на ПК. Проте це може бути небезпечним, оскільки конфіденційний журнал натискань клавіш буде доступним для шкідливих програм і може зберігатися в резервних копіях. Іншими словами, це не злість - просто некомпетентність.
Це, здається, код налагодження в драйвері звуку Conexant, код якого повинен був бути видалений Conexant до того, як драйвер буде поставлено на ПК. Частина драйвера, яка прислухається до клавіш швидкого доступу, автоматично реєструє клавіші, які вона бачить. Її відкрили дослідники з Моджера.
Як перевірити активність Keylogger
Існує інша поведінка на різних ноутбуках HP, залежно від версії драйвера, який вони включають. На багатьох ноутбуках кейлоггер записує натискання клавіш на C: Користувачі Public MicTray.log
файл. Цей файл стертий при кожному завантаженні, але він може бути захоплений і збережений у системних резервних копіях.
Перейдіть до C: Користувачі \ t
і перевірте, чи є у вас файл MicTray.log. Двічі клацніть його, щоб переглянути вміст. Якщо ви бачите інформацію про натискання клавіш, інстальовано драйвер проблеми.
Якщо ви бачите дані у цьому файлі, ви хочете видалити файл MicTray.log з будь-яких системних резервних копій, які можуть бути частиною, щоб забезпечити стирання записів ваших клавіш. Ви також повинні видалити файл MicTray.log звідси, щоб стерти запис ваших натискань клавіш.
Навіть якщо ви не бачите файл MicTray.log, ваш ноутбук HP, можливо, раніше записував натискання клавіш на цей файл, перш ніж він завантажив автоматичне оновлення, яке зупинило його. Ви повинні вивчити будь-які резервні копії, створені на вашому комп'ютері, і видалити файл MicTray.log, якщо ви бачите його.
На нашому HP Spectre x360 ми побачили файл MicTray.log, але його розмір був 0 Кб. Однак, навіть якщо дані не друкуються в цьому файлі, кожна натискання клавіші, яку ви вводите, може бути надруковано за допомогою API OutputDebugString Windows. Будь-яке додаток, запущене в поточному обліковому записі користувача, може переглядати цю налагоджувальну інформацію та захоплювати кожне натискання клавіші, не роблячи нічого, що здається підозрілим для антивірусних програм.
Щоб перевірити, чи відбувається це, завантажте та запустіть програму DebugView від Microsoft. Подивіться на програму DebugView і натисніть деякі клавіші на клавіатурі.
Якщо драйвер звуку Conexant фіксує натискання клавіш і друкує їх як повідомлення для налагодження, ви побачите багато рядків "Мікрофон", кожен з яких містить код сканування. Інформація на кожному рядку ідентифікує натиснуту клавішу, щоб цю інформацію можна було декодувати, щоб захопити кожну клавішу, яку ви натискаєте, у порядку, у якому ви натискаєте, якщо програма слухає журнал налагодження на вашому ПК.
Якщо ви не бачите файл MicTray.log з натисканнями клавіш, і у виводі DebugView не видно жодного виводу "Mic target", привітайте. У вашій системі не встановлено та не запущено програмне забезпечення для роботи з драйверами.
Як зупинити кейлоггер
Якщо ви бачите файл MicTray.log, заповнений даними, або ви бачите в DebugView вивід налагодження "Mic mic", у вас встановлено небезпечний аудіо драйвер для блокування, і ви повинні вимкнути або видалити його.
Виправлення цієї проблеми надходитимуть через Windows Update на портативних комп'ютерах. Виправлення для ноутбуків, випущених у 2016 році, було додано до служби Windows Update 11 травня, а виправлення для ноутбуків, випущених у 2015 році, має прибути 12 травня. Відкрийте меню Налаштування> Оновлення та безпека> Windows Update, щоб переконатися, що у вас є останні оновлення.
Якщо виправлення ще не було випущено, або ви з деяких причин не можете запустити службу Windows Update, ви можете видалити програмне забезпечення, яке викликає проблему. Необхідно видалити файл MicTray.exe або MicTray64.exe. Це запобігає функціонуванню деяких функціональних клавіш мультимедіа на клавіатурі, але це тимчасова невелика ціна для оплати безпеки.
По-перше, відкрийте диспетчер завдань, клацнувши правою кнопкою миші на панелі завдань і вибравши «Диспетчер завдань». Натисніть "Додаткові відомості", перейдіть на вкладку "Деталі", у списку знайдіть MicTray64.exe або MicTray.exe, клацніть його правою кнопкою миші та виберіть "Завершити завдання".
Потім знайдіть виконуваний файл MicTray у вашій системі та видаліть його. Дослідники вказують, що цей файл часто зустрічається у будь-яких C: Windows 32 MicTray.exe
або C: Windows 32: MicTray64.exe
. Однак на нашій системі ми знайшли його C: Програмні файли CONEXANT MicTray MicTray64.exe
.
Якщо в майбутньому Windows Update встановить оновлений драйвер, він повинен встановити новий виконуваний файл MicTray, який вирішить проблему і знову ввімкнути функціональні клавіші клавіатури..
Фото: Amanz Network / Flickr