Monday, June 6, 2011 - 17:19

#

Примеры защиты от шпионов

Компьютерный шпион PC Pandora
Шпион PC Pandora скрывается в системе и контролирует весь компьютер и Интернет-трафик. Делает снимки экрана, получает данные клавиатуры, посещенных веб-сайтов, электронной почты, мгновенные сообщения с мессенджеров и ещё много другой частной информации. Шпион остается полностью невидимым, записывая все секретные пароли и действия пользователя.

Шпион PC Pandora

Как обнаружить, удалить и защититься от шпиона PC Pandora.

PC Pandora относится к классу шпионских программ, работающих через библиотеки DLL. Это достаточно редкий тип программ слежения за пользователем, и они хорошо скрывают свое присутствие на компьютере. У программы нет папки, в которой она хранит свои данные. Всё загружается в операционную систему, и каждая новая установка на один и тот же или другой компьютер производиться с новыми названиями файлов. По этой причине идентифицировать ее по обнаруженным файлам, как шпиона PC Pandora, не всегда представляется возможным. У этой программы нет рабочих процессов, служб, драйверов, ее нет в автозагрузке и стандартных местах запуска программного обеспечения. Она использует для слежения библиотеки DLL, одну из которых загружает вместе с операционной системой и через неё подключает другие. PC Pandora не влияет на работоспособность компьютера, по которой можно было бы что-то заподозрить.

Очевидно, что классическими методами защиты информации сложно найти эту программу на компьютере, поскольку самым надежным их инструментом являются сигнатурные базы, а PC Pandora на каждом компьютере устанавливает изменённые данные. Т.е. внести ее в базу под конкретным именем не просто.

Если же учесть позиционирование программы как инструмент для заботливых родителей, желающих знать, что их дети делают за компьютером, и рачительных руководителей, желающих уличить нерадивых сотрудников в разбазаривании рабочего времени, то шпион PC Pandora может вообще не попадать в список опасных программ. Только не понятно нам, зачем столь изощренно скрываться в системе от детей и сотрудников, которые должны принимать как должное запреты на нерациональное расходование рабочего времени.

Полагаем, что не только родители и руководители являются целевой аудиторией для пользователей этой шпионской программы.

И так, запускаем COVERT Pro и в главном меню нажимаем кнопку “Монитор DLL”. Далее отключаем через контекстное меню контроль учётных записей UAC, если он включен.

(UAC - это контроль учетных записей пользователей системы Windows. Функция позволяющая предотвратить несанкционированные изменения в системных файлах компьютера. UAC обеспечивает защиту, запрашивая разрешение или пароль администратора перед совершением потенциально опасных для компьютера действий или при изменении параметров, которые могут оказать влияние на работу других пользователей).

Отключить UAC через антишпион COVERT Pro

Маскировщик работает с правами администратора и его мониторы тоже. Не все шпионские программы могут подключаться к программам с такими правами. Чтобы увидеть все библиотеки следует отключить UAC на время анализа системы. Позже, таким же образом, контроль учетных записей можно включить обратно.

Если использовать версию COVERT Pro USB, то отключать UAC для анализа монитора DLL не обязательно. При запуске программы нужно просто отказаться от прав администратора.

Перезагружаем компьютер, запускаем программу COVERT Pro и открываем монитор DLL.

В списке загруженных библиотек обнаруживаем желтым цветом две библиотеки ftpconf.dll и usbweb.dll находящиеся в системной папке, это файлы от шпиона PC Pandora мы это знаем потому, что предварительно сами установили его в систему.

Библиотеки ftpconf.dll и usbweb.dll от шпиона PC Pandora

Если бы мы не проводили такого эксперимента, но в Мониторе DLL обнаружили такие библиотеки, тогда нам необходимо было бы выяснить, кому они принадлежат. Используя контекстное меню, выбираем в списке пункт “Искать информацию в Интернет”.

Искать информацию в Интернет

Мы видим, что информации об этих библиотеках нет. Они не принадлежат ни операционной системе, ни другим программам, легально установленным самим пользователем.

Нет результата поиска

Более того, у этих библиотек в списке окна маскировщика нет имени, которое выдает система. Его задает разработчик программы. Нет и описания, номера версии и не указано имя компании разработчика. Поэтому, даже если бы мы не знали, что эти файлы DLL принадлежат PC Pandora, то всё равно их следовало бы удалить. Но мы бы так и не узнали, кому они принадлежат.

Шпионскую программу PC Pandora обнаружили. Теперь рассмотрим, как ее обезвредить.

Нажимаем правой кнопкой мыши на желтую строку в контекстном меню и выбираем пункт отключить. В появившемся сообщении подтверждаем свои намерения. Тоже самое проделываем со вторым файлом.

Отключить DLL от шпиона PC Pandora

Для завершения операции очистки от шпионской программы перезагружаем компьютер.

После перезагрузки компьютера PC Pandora будет нейтрализована.

Если появятся сообщения об ошибке, открываем системный реестр. Для этого, нажимаем на клавиатуре Win + R, вводим regedit и нажимаем Ok.

Win + R

И через функцию поиска находим и удаляем все параметры, в которых присутствует имя шпионской библиотеки ftpconf.dll

Реестр системы

Для маскировки своих действий от шпиона PC Pandora, не удаляя его с компьютера, будет достаточно войти в платформу защиты маскировщика, нажав на большую кнопку с логотипом и надписью “Вход в платформу защиты”. Все произведённые действия в защищённой среде шпион не будет видеть, даже если его не удалять, и он будет находится в активном состоянии.

Шпион PC Pandora пустое окно

Скачайте программу антишпион — маскировщик COVERT Pro и проверьте - осуществляется ли за вами слежка при помощи шпиона PC Pandora.

Вернуться назад