Bagaimana untuk Periksa sama ada Laptop HP Anda Memiliki Keylogger Konvoi

Ramai komputer riba HP yang dikeluarkan pada tahun 2015 dan 2016 mempunyai masalah besar. Pengendali audio yang disediakan oleh Conexant mempunyai kod debug yang didayakan, dan sama ada log semua ketukan kekunci anda ke fail atau mencetaknya ke log debug sistem, di mana perisian hasad boleh mengintipnya tanpa kelihatan terlalu mencurigakan. Inilah cara untuk memeriksa sama ada PC anda terjejas.

Kenapa Pembalut Laptop Saya HP Saya Kekunci Kekunci?

HP mengatakan ia tidak mempunyai akses kepada data ini, dan keylogger yang dimaksudkan tidak kelihatan berniat jahat. Tiada bukti bahawa keylogger benar-benar melakukan apa-apa dengan ketukan kekunci yang ditangkapnya selain menjimatkannya ke PC anda. Bagaimanapun, ini mungkin berbahaya, kerana log sensitif ketukan kekunci akan tersedia untuk perisian hasad dan mungkin disimpan dalam sandaran. Dalam erti kata lain, itu bukan kebencian-hanya ketidakcekapan.

Ini nampaknya menjadi kod debug dalam pemacu audio Conexant, kod yang sepatutnya telah dikeluarkan oleh Conexant sebelum pemandu dihantar pada PC. Bahagian pemandu yang mendengarkan kekunci pintasan media secara automatik log kunci yang dilihatnya anda tekan. Ia ditemui oleh penyelidik dari Modzero.

Bagaimana untuk Periksa sama ada Keylogger Aktif

Nampaknya terdapat tingkah laku yang berbeza pada komputer riba HP yang berlainan, bergantung pada versi pemacu audio yang mereka sertakan. Pada kebanyakan komputer riba, keylogger menulis ketukan kekunci kepada C: \ Users \ Public \ MicTray.log fail. Fail ini disapu pada setiap boot, tetapi ia boleh ditangkap dan disimpan dalam backup sistem.

Navigasi ke C: \ Users \ Public \ dan lihat jika anda mempunyai fail MicTray.log. Klik dua kali untuk melihat kandungannya. Sekiranya anda melihat maklumat tentang ketukan kekunci anda, anda mempunyai pemandu masalah yang dipasang.

Sekiranya anda melihat data dalam fail ini, anda perlu memadam fail MicTray.log dari mana-mana sandaran sistem yang mungkin menjadi sebahagian daripada untuk memastikan rekod ketukan kekunci anda dipadamkan. Anda juga harus memadam fail MicTray.log dari sini untuk memadamkan rekod ketukan kekunci anda.

Walaupun anda tidak melihat fail MicTray.log, komputer riba HP anda mungkin sebelum ini telah merakam ketukan kekunci ke fail ini sebelum memuat turun kemas kini automatik yang menghentikannya. Anda harus memeriksa apa-apa sandaran yang dibuat dari PC anda dan keluarkan fail MicTray.log, jika anda melihatnya.

Pada HP Specter x360 kami melihat fail MicTray.log tetapi saiznya adalah 0 KB. Walau bagaimanapun, walaupun tiada data sedang dicetak ke fail ini, setiap satu keystroke yang anda taip boleh dicetak melalui Windows OutputDebugString API. Sebarang aplikasi yang berjalan dalam akaun pengguna semasa boleh melihat maklumat debug ini dan menangkap setiap keystroke yang anda taip, tanpa melakukan apa-apa yang akan kelihatan mencurigakan kepada program antivirus.

Untuk memeriksa sama ada ini berlaku, muat turun dan jalankan aplikasi DebugView Microsoft. Lihat aplikasi DebugView dan tekan beberapa kekunci pada papan kekunci anda.

Jika pemandu audio Conexant menangkap ketukan kekunci dan mencetaknya sebagai mesej debug, anda akan melihat banyak baris "sasaran MIC", masing-masing dengan scancode. Maklumat pada setiap baris mengenal pasti kunci yang anda tekankan, jadi maklumat ini dapat diuraikan untuk menangkap setiap kunci yang anda tekan dalam perintah yang anda tekan, jika aplikasi mendengar dalam log debug pada PC anda.

Sekiranya anda tidak melihat fail MicTray.log dengan ketukan kekunci di dalamnya dan anda tidak mempunyai output "sasaran sasaran" yang kelihatan di DebugView, tahniah. Sistem anda tidak mempunyai perisian pemacu audio kereta dipasang dan berjalan.

Bagaimana untuk Menghentikan Keylogger

Jika anda melihat fail MicTray.log yang diisi dengan data atau anda dapat melihat output debug "sasaran mikro" yang dapat dilihat di DebugView, anda mempunyai pemacu audio keylogging berbahaya yang dipasang dan anda harus mematikan atau mengeluarkannya.

Memperbaiki masalah ini akan tiba melalui Kemas Kini Windows pada komputer riba yang terjejas. Pembaikan untuk komputer riba yang dikeluarkan pada tahun 2016 telah ditambah pada Windows Update pada 11 Mei, sementara pembaikan untuk komputer riba yang dikeluarkan pada tahun 2015 ditetapkan pada 12 Mei. Kepala ke Tetapan> Kemas kini & keselamatan> Kemas Kini Windows untuk memastikan anda mempunyai kemas kini terkini.

Jika pembaikan belum dikeluarkan lagi, atau anda tidak dapat menjalankan Windows Update untuk beberapa sebab, anda boleh mengalih keluar perisian yang menyebabkan masalah itu. Anda perlu memadamkan fail MicTray.exe atau MicTray64.exe. Ini akan menghalang kekunci fungsi media pada papan kekunci anda daripada berfungsi, tetapi itu adalah harga kecil sementara untuk membayar keselamatan.

Pertama, buka Pengurus Tugas dengan mengklik kanan bar tugas anda dan memilih "Pengurus Tugas". Klik "Butiran lanjut", klik tab "Butiran", cari sama ada MicTray64.exe atau MicTray.exe dalam senarai, klik kanan, dan pilih "Tugasan Akhir".

Seterusnya, cari fail boleh laku MicTray pada sistem anda dan padamkannya. Para penyelidik menunjukkan bahawa fail ini sering dijumpai sama ada C: \ Windows \ system32 \ MicTray.exe atau C: \ Windows \ system32 \ MicTray64.exe . Walau bagaimanapun, dalam sistem kami, kami mendapatinya C: \ Program Files \ CONEXANT \ MicTray \ MicTray64.exe .

Apabila Windows Update memasang pemacu yang dikemaskinikan pada masa hadapan, ia harus memasang executable MicTray baru yang akan membetulkan masalah dan mengaktifkan semula kekunci fungsi papan kekunci anda.

Photo Credit: Amanz Network / Flickr