11 май 2017 г.


Ако имате компютър HP, сега е времето да проверите, дали на диска ви има такива файлове:
C:\Windows\System32\MicTray64.exe или C:\Windows\System32\MicTray.exe
Откриете ли един от тях, то на компютъра ви има инсталиран активен keylogger - програма, която записва в специален файл всеки натиснат клавиш на клавиатурата ви. На първо време може да пробвате незабавно да преименувате изпълнимия файл.

Обикновено, когато бъде открита нова програма от типа keylogger, тя бива категоризирана като зловреден шпионски софтуер. Следва незабавното уведомяване на производителите на хардуера или софтуера, за да предприемат мерки срещу заплахата. В този случай обаче, нещата не стоят по този начин. Откритият в компютрите на HP keylogger не е категоризиран като злонамерен софтуер, така че компанията все още не е предприела никакви действия за отстраняването му.

Зловредният софтуер е открит от компанията Мodzero AG, която се занимава с проблеми по кибер сигурността. Намерен е в аудио драйверите, инсталирани на компютри на HP. Modzero е извършил всички необходими процедури, за да уведоми HP за наличието на зловредната програма. HP Enterprise обаче отказва да поеме отговорност за предприемане на нужните стъпки, а HP Inc. и другата компания, която е "главен герой" в случая Conexant Systems Inc., изобщо са игнорирали съобщението от Modzero. Именно затова от фирмата за кибер сигурност са решили да направят проблема публично достояние, "в съответствие с нашите разбирания за отговорността в подобни случаи", заявяват от компанията.


Ето и краткото обяснение, защо ситуацията изглежда странно. Продажбите на техника с предварително инсталирани системи, заразени с keylogger софтуер, винаги означава само едно - умишлено злонамерени действия. В случая нещата изглеждат като чиста проба проява на небрежност от страна на разработчиците на софтуера.
Въпросният софтуер е част от пакета с драйвери, предлаган от HP (от декември 2015 година), предназначен за системи с аудио чип, произведен от Conexant. Чипове на Conexant има в широка гама звукови карти и драйверите за тях се разработват от фирмата производител. В конкретния случай проблемите се пораждат от начина, по който аудио драйвера следи за натискането на специални клавишни комбинации, чрез които се активира входа за микрофон и съответно се включва или изключва LED индикация за активен запис.

Експертите на Modzero са установили следното: изпълним файл от пакета с аудио драйвери при всяко стартиране на системата активира записването на всичко, въвеждано от клавиатурата в обикновен текстов файл (дневник, лог-файл). Целта е да се "улови" кога потребителят натиска специалните клавишни комбинации. Лог-файлът (C:\Users\Public\MicTray.log ) се презаписва при всяко рестартиране на системата, но по време на работата ѝ в него постоянно се натрупва всичко, въведено от клавиатурата, в това число и част или всички пароли, които изписвате.

Небрежност? Мързел? Както и да бъде наречен този подход, винаги ще остане съмнение за нещо нередно; да записваш всичко, само за да засечеш, кога са натиснати определени клавишни комбинации, е, меко казано,нелеп подход. Както вече споменахме в началото, може да се преименува изпълнимия файл, но това спира и изпълнението на клавишните комбинации за включване и изключване на микрофона. В идеалния случай, експертите се надяват, че HP и Conexant, след като ситуацията стане публично достояние, ще си вземат бележка и ще решат бързо проблема.

0 коментара:

Публикуване на коментар

Може да ви е интересно...