Monday, June 6, 2011 - 17:19

#

Примеры защиты от шпионов

Компьютерный шпион Micro Keylogger
Шпион Micro Keylogger невидимый и скрытый кейлоггер в отличие от других клавиатурных шпионов, которые не являются полностью скрытыми. Он работает тихо и не влияют на производительность системы. Скрытно отправляет отчет на электронную почту или FTP сервер. Шпион записует все нажатия клавиш клавиатуры, делает снимки рабочего стола, отслеживает посещение веб-сайтов, имеет возможность отправлять собранные журналы в специально запрограммированные места.

Шпион Micro Keylogger

Обнаружение и удаление компьютерного шпиона Micro Keylogger.

Эта шпионская программа относится к одному из самых опасных классов программ слежения. Их очень сложно обнаружить, поскольку они не имеют в операционной системе активных процессов, служб и не использует стандартные методы загрузок своего функционала. Их активность ведется через библиотеки DLL, которые загружаются вместе с системой Windows через системный процесс rundll32.

(DLL или dynamic-link library это файл с дополнительными ресурсами, которые могут использоваться программами и самой операционной системой. В DLL файлы помещают исполняемый код и другие данные нужные различным программам при их выполнении. Один и тот же DLL файл может использоваться несколькими программами одновременно.)

Собранную информацию шпионская программа передает за считанные секунды на специальный сервер или электронный адрес. Она так же использует системный процесс explorer.exe (Процесс explorer.exe — это исполняемый файл Проводника Windows.)

Шпион Micro Keylogger использует системный процесс explorer.exe

Если мы проверим состояние системы монитором процессов, то не обнаружим присутствия никаких странных процессов. Не будет подозрительных программ и в автозагрузке. Учитывая тот факт, что Micro Keylogger подавляющее большинство антивирусных программ не считает угрозой, можно прийти к ошибочному заключению о том, что компьютер чист и на нем не установлено программное обеспечение, фиксирующее и передающее все действия пользователя. К сожалению, многие так и думают. Но следует еще проверить загруженные во все процессы библиотеки DLL.

Это можно сделать с помощью специальной функции маскировщика COVERT ProМонитор DLL. Просмотр состояния операционной системы другими мониторами – драйверов, процессов и служб не дает информации, которая может вызвать подозрение. Если использовать версию маскировщика для компьютера COVERT Pro, которая должна работать с правами администратора, тогда следует выключить контроль учетных записей (UAC) Windows. В противном случае мы не сможем увидеть все шпионские библиотеки, поскольку шпионы не имеют прав администратора и не могут подключаться к программам с такими правами.

Версия COVERT Pro USB может работать без прав администратора и UAC можно не отключать. Отключить UAC можно через контекстное меню, которое вызывается нажатием правой кнопкой мыши на рамке окна программы.

(UAC - это контроль учетных записей пользователей системы Windows. Функция позволяющая предотвратить несанкционированные изменения в системных файлах компьютера. UAC обеспечивает защиту, запрашивая разрешение или пароль администратора перед совершением потенциально опасных для компьютера действий или при изменении параметров, которые могут оказать влияние на работу других пользователей).

Выключить UAС через антишпион COVERT Pro

После изучения списка библиотек можно таким же образом включить UAC обратно.

Теперь перезагружаем компьютер, запускаем программу COVERT Pro и открываем монитор DLL.

В списке загруженных библиотек выделен красным цветом файл core32_3.dll. Это и есть DLL шпионской программы Micro Keylogger. Только сейчас мы узнали, что на нашем компьютере установлена программа слежения за пользовательской активностью. Имя и путь к папке, где установлена эта программа —C:\Windows\security\Syslogs.

Библиотека core32_3.dll от шпиона Micro Keylogger

Шпионская программа Micro Keylogger обнаружена. Теперь рассмотрим, как ее удалить. Нажимаем правой кнопкой мыши на красную строку и в контекстном меню и выберем пункт отключить.

Отключить DLL от шпиона Micro Keylogger

Далее подтверждаем свои действия и для завершения операции перезагружаем компьютер.

Шпион Micro Keylogger отключен

После перезагрузки компьютера шпион Micro Keylogger уже не будет работать.

Теперь следует удалить данные и папку, в которой находятся файлы программы слежения C:\Windows\security\Syslogs.

Папка шпиона Micro Keylogger

Если появится в системе сообщение об ошибке при запуске core32_3.dll, тогда потребуется открыть системный реестр, найти через функцию поиска все параметры, в которых присутствует имя шпионской библиотеки core32_3.dll и удалить их.

Для этого, нажимаем на клавиатуре символ Windows + R, вводим regedit и нажимаем Ok.

Win + R, вводим regedit

Редактор реестра

Для маскировки своих действий от Micro Keylogger, не удаляя его с компьютера, будет достаточно войти в платформу защиты маскировщика, нажав на большую кнопку с логотипом и надписью “Вход в платформу защиты”. Все пользовательские действия в защищённой среде шпионская программа не будет видеть, даже если она находится в активном состоянии.

Скачайте программу антишпион — маскировщик COVERT Pro и проверьте - осуществляется ли за вами слежка при помощи шпиона Micro Keylogger

Вернуться назад