Примеры защиты от шпионов
Как обнаружить шпиона VkurSe ведущего скрытное наблюдение за компьютером.
Стоит отдать должное разработчикам этой шпионской программы. Остроумное название и нет маркетингового бла-бла о том, как их продукт защищает несмышленых детишек от плохого контента путем тайного подглядывания за ними, выявляет и сдает нерадивых сотрудников умным и трудолюбивым начальникам. Авторы открыто называют свою разработку шпионом. Молодцы.
И действительно, программа максимально старается себя скрыть от пользователя, тайно собирая всю информацию о нем. А это значит, что мы должны показать, как обезвредить этого шпиона средствами нашего маскировщика.
VkurSe сложно обнаружить стандартными средствами, но в маскировщике COVERT Pro есть достаточно инструментов для обнаружения самых изощренных шпионов. Открываем «Монитор автозагрузки”, нажимаем на кнопку “Скрытый автозапуск” и в списке запускаемых вместе с операционной системой приложений видим строку, подсвеченную желтым цветом. Это библиотека w2b.dll, которая и принадлежит шпиону VkurSe. (DLL — это библиотека, содержащая код и данные, которые могут использоваться одновременно более чем одной программой).
Библиотека w2b.dll используется для установления различных хуков и перехватов в операционной системе. Мы ее также можем увидеть в мониторе для просмотра библиотек. Открываем окно “Монитор DLL” и видим это же имя без опознавательных выводимых имён, описаний и других данных. Оно тоже выделено желтым цветом.
Основной задачей этой библиотеки является загрузка себя и процесса main.exe вместе с операционной системой. Кстати, сам процесс можно увидеть только в списке скрытых процессов. Открываем окно «Процессы системы» и потом «Скрытые процессы». Все строки с этим процессом выделены красным цветом потому, что он скрывает себя от системы..
Есть еще один модуль шпиона – драйвер npf.sys. Он выделен красным цветом в окне «Драйверный монитор» потому, что уже занесен в базу угроз маскировщика. Этот драйвер используют многие шпионские программы, которые мы тестировали в нашей лаборатории.
Поскольку шпионская программа может передавать украденную информацию через интернет на сервер злоумышленника, процесс main.exe можно увидеть в момент передачи в сетевом мониторе, если он еще не внесен в базу угроз.
Красным цветом main.exe будет подсвечен если его блокирует COVERT Pro (Блокировка происходит, если в базу угроз добавлено имя шпионского процесса) или в случае, когда шпион себя скрывает в операционной системе и его невозможно идентифицировать. Тогда ему присваивается имя Unknown (Неизвестный). По умолчанию, все неизвестные процессы блокируются маскировщиком. Это произошло и во время тестирования VkurSe. После блокировки шпионского процесса злоумышленник не сможет вести наблюдение за компьютером онлайн и, тем более, получать украденную информацию.
На приведенных выше скриншотах мы показали, как следует удалять модули шпионской программы VkurSe. Все действия производятся через контекстное меню (вызывается правой клавишей мышки). Вот список необходимых шагов:
- 1) Удалить скрытый автозапуск библиотеки w2b.dll.
- 2) Отключить шпионскую библиотеку w2b.dll в мониторе DLL
- 3) Открыть папку с приложением и завершить скрытый шпионский процесс main.exe в мониторе скрытых процессов.
- 4) Удалить драйвер npf.sys
- 5) Полностью удалить папку со всеми шпионскими файлами, которая была открыта через контекстное меню в пункте 3.
- 6) Перезагрузить компьютер и проверить через систему мониторинга COVERT Pro все места возможного нахождения описанные выше.
Если вы не удалите все модули шпиона, но зайдете в платформу защиты COVERT Pro (большая кнопка с логотипом и надписью: «Вход в платформу защиты») и начнете работать, все ваши действия VkurSe не сможет перехватить и сохранить для передачи злоумышленнику. Отчёты шпионских логов будут пустыми.
Скачайте программу антишпион — маскировщик COVERT Pro и проверьте - осуществляется ли за вами скрытая слежка при помощи шпиона VkurSe