Oto lista komputerów HP, które mogą zawierać wbudowanego keyloggera

12 maja, 2017

Keylogger, czyli złośliwe oprogramowanie, które rejestruje naciskane klawisze nawet wtedy, kiedy hasło nie jest widoczne. Na nic zdadzą się techniki maskowania pola z hasłem. Keylogger jest w stanie przechwycić wszystko, co zostanie wpisane na klawiaturze sprzętowej lub wirtualnej.

W opisywanym przypadku notebooki firmy HP […]:

  • HP EliteBook 820 G3 Notebook PC
  • HP EliteBook 828 G3 Notebook PC
  • HP EliteBook 840 G3 Notebook PC
  • HP EliteBook 848 G3 Notebook PC
  • HP EliteBook 850 G3 Notebook PC
  • HP ProBook 640 G2 Notebook PC
  • HP ProBook 650 G2 Notebook PC
  • HP ProBook 645 G2 Notebook PC
  • HP ProBook 655 G2 Notebook PC
  • HP ProBook 450 G3 Notebook PC
  • HP ProBook 430 G3 Notebook PC
  • HP ProBook 440 G3 Notebook PC
  • HP ProBook 446 G3 Notebook PC
  • HP ProBook 470 G3 Notebook PC
  • HP ProBook 455 G3 Notebook PC
  • HP EliteBook 725 G3 Notebook PC
  • HP EliteBook 745 G3 Notebook PC
  • HP EliteBook 755 G3 Notebook PC
  • HP EliteBook 1030 G1 Notebook PC
  • HP ZBook 15u G3 Mobile Workstation
  • HP Elite x2 1012 G1 Tablet
  • HP Elite x2 1012 G1 with Travel Keyboard
  • HP Elite x2 1012 G1 Advanced Keyboard
  • HP EliteBook Folio 1040 G3 Notebook PC
  • HP ZBook 17 G3 Mobile Workstation
  • HP ZBook 15 G3 Mobile Workstation
  • HP ZBook Studio G3 Mobile Workstation
  • HP EliteBook Folio G1 Notebook PC

[…] mogą zawierać keyloggera w sterowniku audio HP Audiodriver Packages lub Conexant High-Definition (HD) Audio Driver w wersji 10.0.931.89 i starszych.

Autor tych informacji pracujący dla spółki Modzero, która zajmuje się bezpieczeństwem nie jest w stanie jasno określić, czy HP wiedziało o zainstalowanym oprogramowaniu szpiegującym, czy samo padło ofiarą backdoora opracowanego przez firmę zewnętrzną – w tym konkretnym przypadku przez firmę Conexant, dostawcę układów scalonych i chipów audio, która przygotowała sterowniki dla płyt głównych laptopów powyżej wskazanych modeli HP.

Thorsten Schroeder, autor artykułu wyjaśnia to w ten sposób:

Instalacja podejrzanego procesu MicTray64.exe firmy Conexant odbywa się za pomocą sterownika audio, który uruchamia się po każdym zalogowaniu. Program ten monitoruje wszystkie naciśnięcia klawiszy dokonane przez użytkownika. Za jego pośrednictwem możliwe jest też wyciszanie mikrofonu, regulowanie poziomem głośności, czy sterowanie podświetleniem LED.

Monitorowanie klawiszy jest dodawane poprzez wdrożenie w sterowniku możliwości wywoływania funkcji SetwindowsHookEx służącej do obsługi skrótów / klawiszy funkcyjnych. Keylogging jest najprawdopodobniej błędem programistycznym, w którym włączono debugowanie i rejestrowanie naciśniętego lub zwolnionego klawisza specjalnego.

Wszystkie operacje są zapisywane w lokalizacji:

C:\Users\Public\MicTray.log

Jeśli plik dziennika nie istnieje, to rejestrowanie klawiszy może odbywać się w kontekście dowolnego uruchomionego procesu przez zalogowanego użytkownika. Czyli, przechwytywanie naciskanych klawiszy może mieć miejsce dla dowolnego uruchomionego programu, np. LastPass, KeePass, przeglądarek… 

Zaleca się usunięcie logu C:\Users\Public\MicTray.log oraz plików wykonywalnych C:\Windows\System32\MicTray.exeC:\Windows\System32\MicTray64.exe lub zmianę ich nazwy. Może to jednak wpłynąć na problemy w działaniu klawiszy specjalnych do obsługi dźwięku (wyciszanie, regulowanie poziomem dźwięku).

Na chwilę obecną HP nie udostępniło jeszcze aktualizacji, a najnowsze sterowniki HP Audiodriver Packages / Conexant High-Definition (HD) Audio Driver pochodzą z 2015 roku.  

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]