Примеры защиты от шпионов
Антишпион — маскировщик COVERT Pro против системы контроля шпиона Yaware.TimeTracker.
На сайте разработчиков написано, что Yaware.TimeTracker — система учета рабочего времени и оценки эффективности работы сотрудников за компьютером. Мы не занимаемся тестированием таких систем на предмет их обнаружения и удаления. Но к нам обратился пользователь с вопросом, может ли COVERT Pro защитить его от этой программы. Оказалось, что она стоит на его домашнем компьютере. А это уже несколько расходится с заявленными целями разработчиков. Тестирование Yaware.TimeTracker показало, что ее функциональность ничем не отличается от типичной шпионской программы – делает скриншоты и отправляет их на сервер разработчиков. Установить ее можно не только в корпоративной системе, но и на любом компьютере. А раз так, то мы решили опубликовать эту инструкцию о том, как обнаружить и удалить Yaware.TimeTracker или скрыть свою работу от этой программы.
Поскольку она периодически отправляет собранную информацию на внешний сервер, ее присутствие можно обнаружить в сетевом мониторе маскировщика. Но виден модуль Yaware.TimeTracker только в момент передачи данных, а в остальное время его там нет.
А вот в мониторе “Службы системы” мы можем постоянно видеть службу с именем Yaware.TimeTracker Collector Service, которая выделена красным цветом, поскольку занесена в базу угроз маскировщика.
Еще одно место, где присутствует компонент Yaware.TimeTracker, это монитор "Процессы системы". В его списке мы можем видеть два процесса YwService.exe и YwClient.exe, которые тоже выделены красным цветом.
Если вышеупомянутые файлы обнаружены на рабочем компьютере, значит руководство контролирует всю вашу активность и это не должно вас удивлять, если вы подписали соответствующий документ. Если же вас не предупредили, можете с чистой совестью войти в платформу защиты маскировщика и выполнить действия с личной информацией, которую не обязаны раскрывать работодателю. Удалять модули программы мониторинга не стоит, иначе система отметит, что вы не работаете.
Если вы войдете в платформу защиты COVERT Pro, ваши действия Yaware.TimeTracker не сможет увидеть, но время работы внутри платформы не будет учтено, как рабочее.
Настроим программу мониторинга на создание снимков экрана и веб-камеры каждые 1-2 минуты. После этого заходим в платформу маскировщика и производим любые действия – посещаем сайты, набираем текст в редакторе, просматриваем видео. Через 15 минут выходим и проверяем логи Yaware.TimeTracker. Оказывается, что система мониторинга в этот промежуток времени прекратила сохранение информации. Мы можем видеть, что в производстве скриншотов образовался 15-минутный пробел. До входа в платформу и после выхода из нее система сделала снимки.
Подобная ситуация и со снимками веб-камерой — провал в 15 минут. Снимки производились, но не сохранялись.
Система мониторинга собирает информацию, сохраняет её в системе в скрытых хранилищах, и, через определённый промежуток времени передаёт на сервер разработчика. В момент нахождения пользователя в защищённой платформе сохранение информации в хранилище приостанавливается. После выхода из платформы работа Yaware.TimeTracker восстанавливается и данные снова сохраняются.
Если вы обнаружили модули системы мониторинга на своем домашнем компьютере, удалите их.
В окне монитора “Службы системы” нажмите правой кнопкой мыши на выделенную красным цветом строку сервиса Yaware.TimeTracker Collector Service, и в контекстном меню выберите сначала пункт “Открыть папку службы”, а потом “Остановить службу”.
В папке Yaware.TimeTracker запустите файл Uninstall.exe, который удалит все компоненты программы мониторинга.
Скачайте программу антишпион — маскировщик COVERT Pro и проверьте - осуществляется ли за вами скрытая слежка при помощи cистемы контроля Yaware.TimeTracker