Oto lista komputerów HP, które mogą zawierać wbudowanego keyloggera

Keylogger, czyli złośliwe oprogramowanie, które rejestruje naciskane klawisze nawet wtedy, kiedy hasło nie jest widoczne. Na nic zdadzą się techniki maskowania pola z hasłem. Keylogger jest w stanie przechwycić wszystko, co zostanie wpisane na klawiaturze sprzętowej lub wirtualnej.

W opisywanym przypadku notebooki firmy HP [...]:

  • HP EliteBook 820 G3 Notebook PC
  • HP EliteBook 828 G3 Notebook PC
  • HP EliteBook 840 G3 Notebook PC
  • HP EliteBook 848 G3 Notebook PC
  • HP EliteBook 850 G3 Notebook PC
  • HP ProBook 640 G2 Notebook PC
  • HP ProBook 650 G2 Notebook PC
  • HP ProBook 645 G2 Notebook PC
  • HP ProBook 655 G2 Notebook PC
  • HP ProBook 450 G3 Notebook PC
  • HP ProBook 430 G3 Notebook PC
  • HP ProBook 440 G3 Notebook PC
  • HP ProBook 446 G3 Notebook PC
  • HP ProBook 470 G3 Notebook PC
  • HP ProBook 455 G3 Notebook PC
  • HP EliteBook 725 G3 Notebook PC
  • HP EliteBook 745 G3 Notebook PC
  • HP EliteBook 755 G3 Notebook PC
  • HP EliteBook 1030 G1 Notebook PC
  • HP ZBook 15u G3 Mobile Workstation
  • HP Elite x2 1012 G1 Tablet
  • HP Elite x2 1012 G1 with Travel Keyboard
  • HP Elite x2 1012 G1 Advanced Keyboard
  • HP EliteBook Folio 1040 G3 Notebook PC
  • HP ZBook 17 G3 Mobile Workstation
  • HP ZBook 15 G3 Mobile Workstation
  • HP ZBook Studio G3 Mobile Workstation
  • HP EliteBook Folio G1 Notebook PC

[…] mogą zawierać keyloggera w sterowniku audio HP Audiodriver Packages lub Conexant High-Definition (HD) Audio Driver w wersji 10.0.931.89 i starszych.

Autor tych informacji pracujący dla spółki Modzero, która zajmuje się bezpieczeństwem nie jest w stanie jasno określić, czy HP wiedziało o zainstalowanym oprogramowaniu szpiegującym, czy samo padło ofiarą backdoora opracowanego przez firmę zewnętrzną – w tym konkretnym przypadku przez firmę Conexant, dostawcę układów scalonych i chipów audio, która przygotowała sterowniki dla płyt głównych laptopów powyżej wskazanych modeli HP.

Thorsten Schroeder, autor artykułu wyjaśnia to w ten sposób:

Instalacja podejrzanego procesu MicTray64.exe firmy Conexant odbywa się za pomocą sterownika audio, który uruchamia się po każdym zalogowaniu. Program ten monitoruje wszystkie naciśnięcia klawiszy dokonane przez użytkownika. Za jego pośrednictwem możliwe jest też wyciszanie mikrofonu, regulowanie poziomem głośności, czy sterowanie podświetleniem LED.

Monitorowanie klawiszy jest dodawane poprzez wdrożenie w sterowniku możliwości wywoływania funkcji SetwindowsHookEx służącej do obsługi skrótów / klawiszy funkcyjnych. Keylogging jest najprawdopodobniej błędem programistycznym, w którym włączono debugowanie i rejestrowanie naciśniętego lub zwolnionego klawisza specjalnego.

Wszystkie operacje są zapisywane w lokalizacji:

C:\Users\Public\MicTray.log

Jeśli plik dziennika nie istnieje, to rejestrowanie klawiszy może odbywać się w kontekście dowolnego uruchomionego procesu przez zalogowanego użytkownika. Czyli, przechwytywanie naciskanych klawiszy może mieć miejsce dla dowolnego uruchomionego programu, np. LastPass, KeePass, przeglądarek... 

Zaleca się usunięcie logu C:\Users\Public\MicTray.log oraz plików wykonywalnych C:\Windows\System32\MicTray.exe i C:\Windows\System32\MicTray64.exe lub zmianę ich nazwy. Może to jednak wpłynąć na problemy w działaniu klawiszy specjalnych do obsługi dźwięku (wyciszanie, regulowanie poziomem dźwięku).

Na chwilę obecną HP nie udostępniło jeszcze aktualizacji, a najnowsze sterowniki HP Audiodriver Packages / Conexant High-Definition (HD) Audio Driver pochodzą z 2015 roku.  




Podobne artykuły

Jeśli korzystasz z oprogramowania Dell System Detect, cyberprzestępcy mogą wykorzystać Twój...
Rozwiązanie Check Point Mobile Threat Prevention służące do ochrony urządzeń mobilnych, które...

Komentarze

Obrazek użytkownika ichito

@Adrian
czy sprawdzałeś może jak zachowuje się w tej sytuacji SpyShelter? Wg mnie powinien wyłapać tę akcję...robi to w każdym razie wobec innych procesów.

Obrazek użytkownika Adrian Ścibor

#1 Nie sprawdzałem. Nie posiadam takich podzespołów, aby zainstalować te sterowniki.

Dodaj komentarz