Monday, June 6, 2011 - 17:19
#

Примеры защиты от шпионов

Компьютерный шпион Spytech SpyAgent
Шпион Spytech SpyAgent для полного контроля над действиями пользователя. Мониторит работу системы, включая запись нажатий клавиш, запускаемые программы, открываемые файлы и многое другое. Например, позволяет зафиксировать всю онлайн активность - FTP, HTTP, POP3, Chat и любые другие TCP/UDP связи, в том числе все посещенные веб-сайты. Умеет она и делать снимки с экрана, а также отправлять время от времени все собранные данные на указанный e-mail. Кроме этого, есть возможность удаленного управления программой.

Шпион Spytech SpyAgent

Защита от полнофункционального компьютерного шпиона Spytech SpyAgent

Spytech SpyAgent можно отнести к многофункциональным шпионам. Несмотря на отсутствие русскоязычного интерфейса, он является довольно популярным на просторах Рунета. Причина этого, скорее всего, в его богатой функциональности и умении себя скрывать. Мы решили его протестировать и внести в нашу библиотеку, чтобы пользователи знали как удалить шпионскую программу Spytech SpyAgent.

Чтобы обнаружить на компьютере программу, предназначенную для полного контроля над действиями пользователя Spytech SpyAgent, и имеющую возможность удаленного управления, запускаем маскировщик COVERT Pro. В главном окне программы, в «Сетевом мониторе», воспользуемся функцией просмотра приложений, находящихся в режиме ожидания соединения. В списке приложений красным цветом выделен процесс rds.exe, который должен обеспечить доступ к шпиону через сеть.

Процесс rds.exe от шпиона Spytech SpyAgent

Таким образом, антишпион-маскировщик COVERT Pro позволяет быстро обнаружить шпионскую программу Spytech SpyAgent. Но есть и другие файлы, и процессы в системе, по которым его можно идентифицировать.

Открываем окно «Процессы системы», нажав на кнопку в главном окне программы COVERT Pro. В появившемся списке сразу находим выделенные красным цветом процессы, принадлежащие шпионской программе — sysdiag.exe и rds.exe. Жёлтым цветом выделяются процессы, которые пытаются выдавать себя за системные. Обратите внимание на services.exe и svchost.exe. Это имена системных процессов, без которых система не сможет работать. Многие пользователи, даже обладающие хорошими компьютерными знаниями, могли бы обмануться и не придать значения этому предупреждению со стороны COVERT Pro. Но в программе COVERT Pro есть функция отслеживания процессов, пытающихся обмануть систему, используя её имена. Любой ложный процесс будет выделяться желтым цветом.

Процессы sysdiag.exe и rds.exe от шпиона Spytech SpyAgent

Если посмотреть на колонку «Адрес» в окне «Процессы системы», то бросается в глаза, что файлы процессов, выделенных красным и желтым цветом, находятся в одной папке. Это означает, что они принадлежат одной шпионской программе. Через контекстное меню списка открываем папку с приложением, предварительно завершив все шпионские процессы, удаляем всё содержимое вместе с папкой.

Папка шпиона Spytech SpyAgent

После этой операции кажется, что шпионская программа удалена. Но это не совсем так. Если открыть окно драйверного монитора, запущенного из главного окна маскировщика COVERT Pro, то мы обнаружим драйвер файловой системы, который шпион Spytech SpyAgent установил для перехвата определённых действий пользователя. Через контекстное меню можно получить информацию о драйвере npf.sys. Он позволяет приложениям захватывать и передавать сетевые пакеты в обход стека протоколов. Данный драйвер имеет такие дополнительные функции, как фильтрацию пакетов на уровне ядра, движок статистики сети и поддержку удаленного захвата пакетов.

Драйвер npf.sys установленный шпионом Spytech SpyAgent

Удаляем драйвер шпиона через пункт в контекстном меню списка драйверного монитора “Удалить драйвер”. Перезагружаем компьютер и теперь можно с уверенностью сказать, что шпион Spytech SpyAgent удалён полностью.

Для маскировки своих действий от шпиона Spytech SpyAgent, не удаляя его из системы, заходим в платформу защиты, нажимая на кнопку “Вход в платформу защиты” в главном окне программы COVERT Pro. Любые действия, произведенные внутри платформы, не будут перехвачены шпионской программой. В этом можно убедиться, если проверить ее логи после выхода из защищенной среды.

Шпион Spytech SpyAgent пустое окно

P.S. Проверка антивирусными программами не позволяет обнаружить шпион Spytech SpyAgent в системе. При конкретном анализе шпионского файла, антивирусы угроз не обнаруживают.

Аваст угроз не обнаружено

Скачайте программу антишпион — маскировщик COVERT Pro и проверьте - осуществляется ли за вами слежка при помощи Spytech SpyAgent

Вернуться назад