Monday, June 6, 2011 - 17:19
#

Примеры защиты от шпионов

Шпион для Windows VkurSe (в курсе)
Шпион VkurSe для скрытного мониторинга всех действий на компьютере, может сохранять собранные данные в системе, умеет незаметно отправлять их через интернет на специальный сервер. Предоставляет возможность скрытого наблюдения за компьютером онлайн. Создаёт скриншоты экрана, перехватывает нажатие клавиш клавиатуры, буфер обмена и мн др.

Главное окно шпион для мониторинга VkurSe (в курсе)

Как обнаружить шпиона VkurSe ведущего скрытное наблюдение за компьютером.

Стоит отдать должное разработчикам этой шпионской программы. Остроумное название и нет маркетингового бла-бла о том, как их продукт защищает несмышленых детишек от плохого контента путем тайного подглядывания за ними, выявляет и сдает нерадивых сотрудников умным и трудолюбивым начальникам. Авторы открыто называют свою разработку шпионом. Молодцы.

И действительно, программа максимально старается себя скрыть от пользователя, тайно собирая всю информацию о нем. А это значит, что мы должны показать, как обезвредить этого шпиона средствами нашего маскировщика.

VkurSe сложно обнаружить стандартными средствами, но в маскировщике COVERT Pro есть достаточно инструментов для обнаружения самых изощренных шпионов. Открываем «Монитор автозагрузки”, нажимаем на кнопку “Скрытый автозапуск” и в списке запускаемых вместе с операционной системой приложений видим строку, подсвеченную желтым цветом. Это библиотека w2b.dll, которая и принадлежит шпиону VkurSe. (DLL — это библиотека, содержащая код и данные, которые могут использоваться одновременно более чем одной программой).

Шпионская библиотека DLL в скрытой автозагрузки

Библиотека w2b.dll используется для установления различных хуков и перехватов в операционной системе. Мы ее также можем увидеть в мониторе для просмотра библиотек. Открываем окно “Монитор DLL” и видим это же имя без опознавательных выводимых имён, описаний и других данных. Оно тоже выделено желтым цветом.

Шпионская библиотека в мониторе DLL

Основной задачей этой библиотеки является загрузка себя и процесса main.exe вместе с операционной системой. Кстати, сам процесс можно увидеть только в списке скрытых процессов. Открываем окно «Процессы системы» и потом «Скрытые процессы». Все строки с этим процессом выделены красным цветом потому, что он скрывает себя от системы..

Модуль шпиона VkurSe в скрытых процессах.

Есть еще один модуль шпиона – драйвер npf.sys. Он выделен красным цветом в окне «Драйверный монитор» потому, что уже занесен в базу угроз маскировщика. Этот драйвер используют многие шпионские программы, которые мы тестировали в нашей лаборатории.

Драйвер который использует компьютерный шпион VkurSe

Поскольку шпионская программа может передавать украденную информацию через интернет на сервер злоумышленника, процесс main.exe можно увидеть в момент передачи в сетевом мониторе, если он еще не внесен в базу угроз.

Процесс main.exe от шпиона VkurSe в сетевом мониторе

Красным цветом main.exe будет подсвечен если его блокирует COVERT Pro (Блокировка происходит, если в базу угроз добавлено имя шпионского процесса) или в случае, когда шпион себя скрывает в операционной системе и его невозможно идентифицировать. Тогда ему присваивается имя Unknown (Неизвестный). По умолчанию, все неизвестные процессы блокируются маскировщиком. Это произошло и во время тестирования VkurSe. После блокировки шпионского процесса злоумышленник не сможет вести наблюдение за компьютером онлайн и, тем более, получать украденную информацию.

Скрытый процесс Unknown от шпиона VkurSe в сетевом мониторе

На приведенных выше скриншотах мы показали, как следует удалять модули шпионской программы VkurSe. Все действия производятся через контекстное меню (вызывается правой клавишей мышки). Вот список необходимых шагов:

  • 1) Удалить скрытый автозапуск библиотеки w2b.dll.
  • 2) Отключить шпионскую библиотеку w2b.dll в мониторе DLL
  • 3) Открыть папку с приложением и завершить скрытый шпионский процесс main.exe в мониторе скрытых процессов.
  • 4) Удалить драйвер npf.sys
  • 5) Полностью удалить папку со всеми шпионскими файлами, которая была открыта через контекстное меню в пункте 3.
  • 6) Перезагрузить компьютер и проверить через систему мониторинга COVERT Pro все места возможного нахождения описанные выше.

Если вы не удалите все модули шпиона, но зайдете в платформу защиты COVERT Pro (большая кнопка с логотипом и надписью: «Вход в платформу защиты») и начнете работать, все ваши действия VkurSe не сможет перехватить и сохранить для передачи злоумышленнику. Отчёты шпионских логов будут пустыми.

Окно сохранённых логов шпиона VkurSe

Скачайте программу антишпион — маскировщик COVERT Pro и проверьте - осуществляется ли за вами скрытая слежка при помощи шпиона VkurSe

Вернуться назад