Как да проверите дали вашият лаптоп на HP има Conexant Keylogger
Много лаптопи на HP, пуснати през 2015 и 2016 г., имат сериозен проблем. Аудио драйверът, предоставен от Conexant, има активиран код за отстраняване на грешки и регистрира всички ваши клавиши в даден файл или ги отпечатва в системния журнал за отстраняване на грешки, където злонамерен софтуер може да ги подслушва, без да изглежда твърде подозрително. Ето как да проверите дали вашият компютър е засегнат.
Защо моят лаптоп HP записва моите клавиши?
HP твърди, че няма достъп до тези данни, а въпросният клавиатура не изглежда злонамерен. Няма доказателства, че Keylogger всъщност прави нищо с натискането на клавиши, които той улавя, освен ако не ги съхранява на вашия компютър. Това обаче може да бъде опасно, тъй като чувствителният регистър на клавишите ще бъде достъпен за злонамерен софтуер и може да се съхранява в архиви. С други думи, това не е злоба - просто некомпетентност.
Това изглежда е код за отстраняване на грешки в звуковия драйвер на Conexant, код, който е трябвало да бъде премахнат от Conexant, преди драйверът да бъде доставен на компютри. Частта от драйвера, която слуша за клавишни комбинации от медии, автоматично записва клавишите, които виждате да натиснете. Той е открит от изследователи от Modzero.
Как да проверите дали Keylogger е активен
Изглежда различното поведение на различните лаптопи на HP зависи от версията на аудио драйвера, който те включват. На много лаптопи клавиатурният клавиш пише натискане на клавиши на C: \ Users \ Public \ MicTray.log
файл. Този файл се изтрива при всяко зареждане, но може да бъде заловен и съхранен в системните архиви.
Придвижете се до C: \ Users \ Public \
и вижте дали имате файл MicTray.log. Кликнете два пъти върху нея, за да видите съдържанието. Ако видите информация за натискането на клавиши, имате инсталиран драйвер за проблем.
Ако виждате данни в този файл, ще искате да изтриете файла MicTray.log от всякакви системни архиви, които може да са част от него, за да се гарантира, че записите на клавишите се изтриват. Трябва също да изтриете файла MicTray.log от тук, за да изтриете записа на клавишите.
Дори и да не виждате файла MicTray.log, вашият лаптоп на HP може да е записвал клавиши в този файл преди да е изтеглил автоматична актуализация, която го е спряла. Трябва да разгледате всички архиви, създадени на вашия компютър и да премахнете файла MicTray.log, ако го видите.
На нашия HP Spectre x360 видяхме файла MicTray.log, но той беше с размер 0 KB. Въпреки това, дори и да не се отпечатват данни в този файл, всяко едно натискане на клавиш, което въвеждате, може да бъде отпечатано чрез Windows OutputDebugString API. Всяко приложение, което се изпълнява в текущия потребителски акаунт, може да вижда тази информация за отстраняване на грешки и да улавя всяко натискане на клавиш, което въвеждате, без да правите каквото и да е подозрително за антивирусните програми.
За да проверите дали това се случва, изтеглете и стартирайте програмата DebugView на Microsoft. Вижте приложението DebugView и натиснете някои клавиши на клавиатурата.
Ако звуковият драйвер на Conexant заснема натискането на клавиши и ги отпечата като съобщения за отстраняване на грешки, ще видите много редове „Mic target“, всяка със сканиращ код. Информацията за всеки ред идентифицира натиснатия клавиш, така че тази информация може да бъде декодирана, за да се заснеме всеки клавиш, който натискате в реда, в който сте ги натиснали, ако приложението слушаше в журнала за отстраняване на грешки на компютъра ви.
Ако не виждате MicTray.log файл с натискане на клавиши в него и нямате никакъв “Mic target” изход, видим в DebugView, поздравления. Системата ви няма инсталиран и работещ софтуер за драйвери.
Как да спрем Keylogger
Ако видите файла MicTray.log, пълен с данни, или можете да видите изхода за отстраняване на грешки с "Mic target" в DebugView, имате инсталиран опасен аудио драйвер за клавиатура и трябва да го деактивирате или премахнете.
Поправки към този проблем ще пристигнат чрез Windows Update на засегнатите лаптопи. Решението за лаптопите, пуснати през 2016 г., бе добавено към Windows Update на 11 май, докато решението за лаптопите, пуснати през 2015 г., ще пристигне на 12 май. Отидете в Настройки> Актуализация и сигурност> Windows Update, за да сте сигурни, че имате най-новите актуализации.
Ако корекцията все още не е издадена или не можете да стартирате Windows Update по някаква причина, можете да премахнете софтуера, който причинява проблема. Ще трябва да изтриете файла MicTray.exe или MicTray64.exe. Това ще предотврати функционирането на някои мултимедийни функционални клавиши на клавиатурата, но това е временна малка цена за заплащане на сигурността.
Първо отворете диспечера на задачите, като щракнете с десния бутон на мишката върху лентата на задачите и изберете „Диспечер на задачите“. Кликнете върху „Още подробности“, щракнете върху раздела „Детайли“, намерете MicTray64.exe или MicTray.exe в списъка, щракнете с десния бутон върху него и изберете „Край на задачата“.
След това намерете изпълнимия файл на MicTray на вашата система и го изтрийте. Изследователите посочват, че този файл често се намира и при тях C: \ Windows \ system32 \ MicTray.exe
или C: \ Windows \ system32 \ MicTray64.exe
. Въпреки това, в нашата система, ние го намерихме в C: Програмни файлове CONEXANT MicTray MicTray64.exe
.
Когато Windows Update инсталира актуализиран драйвер в бъдеще, той трябва да инсталира нова изпълнимия файл на MicTray, който ще разреши проблема и ще активира функционалните бутони на клавиатурата..
Снимка: Amanz Network / Flickr