HP ses sürücüsünde bulunan keylogger

İsviçre güvenlik araştırmacısı ModZero, bilgisayara girilen her tuş vuruşunu gizlice kaydeden bir özelliği içeren birkaç HP dizüstü bilgisayara yüklenmiş bir ses sürücüsü keşfettiğini iddia ediyor. Keylogger, tuş vuruşlarını bilgisayarın sabit diskindeki şifrelenmemiş bir dosyada saklar.

Saklanan veriler, şifreler ve özel mesajlar gibi hassas kişisel bilgileri içerir. Daha da kötüsü, tehlikeye atılan bilgisayara erişimi olan herkes keylogger tarafından toplanan verilere erişebilirdi. Conextant tarafından geliştirilen ses sürücüsü düzinelerce HP dizüstü bilgisayarı ve tabletinde bulunuyor.

ModZero araştırmacıları şunları yazdı:

Bir keylogger, çift kullanımlı davanın nadiren talep edilebileceği bir yazılım parçasıdır. Bu, tüm tuş vuruşlarını “iyi tasarlanmış” olarak kaydeden bir keylogger’i tarif edeceğiniz çok az durum olduğunu gösterir. Bir tuş kaydediciye basıldığında, serbest bırakıldığında ve herhangi bir kaydırma veya özel tuşa basılmadığı zaman bir keylogger kaydeder. Örneğin, ekranda görüntülenmese bile bir şifre girilirse de kaydedilir.

Araştırmacılar, dosya meta bilgilerine dayanarak, keylogger’ın en azından Noel 2015’ten bu yana HP bilgisayarlarında var olduğunu söylemeye devam etti. Bilgisayarın her başlatılışında günlük dosyası üzerine yazılmış olsa bile daha da kötüsü, tümünün geçmişi Son birkaç yıldaki tuş vuruşları sistem yedeklemelerinde de bulunabilir. ModZero, etkilenen HP kullanıcılarının oturum açma bilgileri ve parolalar gibi hassas bilgileri içerebileceğinden sabit sürücüye C: \ Users \ Public \ MicTray.log dosyasını silmelerini öneriyor.

ModZero, HP ve Conexant’ın yorum taleplerine yanıt vermediği için bu bilgiyle kamuoyuna açıklanmaya zorlandıklarını söyledi.

Keylogger’ın Aktif olup olmadığını Kontrol Edin

Ekledikleri ses sürücüsünün sürümüne bağlı olarak, farklı HP dizüstü bilgisayarlarında farklı davranışlar gözüküyor. Birçok dizüstü bilgisayarda, keylogger dosyaya tuş vuruşlarını yazıyor C:\Users\Public\MicTray.log. Bu dosya her önyükleme sırasında silinir, ancak yakalanabilir ve sistem yedeklemelerinde saklanabilir.

C:\Users\Public\Bir MicTray. log dosyanız olup olmadığına bakın ve gidin . İçeriği görüntülemek için çift tıklayın. Tuş vuruşlarınız hakkında bilgi görürseniz, sorun sürücüsü yüklenmiştir.

Bu dosyaya verileri görmek yaparsanız herhangi bir sistem dışında, MicTray. log dosyayı silmek isteyeceksiniz yedekleri o tuşlarınızın kayıtları silinir emin olmak için bir parçası olabilir. Ayrıca, tuş vuruşlarınızın kaydını silmek için buradaki MicTray. log dosyasını silmelisiniz.

MicTray. log dosyasını görmese bile, HP dizüstü bilgisayarınız daha önce tuş vuruşlarını durduran otomatik güncellemeyi indirmeden önce bu dosyaya kaydetmiş olabilir. Bilgisayarınızın oluşturduğu tüm yedeklemeleri inceleyin ve görürseniz MicTray. log dosyasını kaldırın.

HP Spectre x360’da MicTray. log dosyasını gördük ancak boyutu 0 KB idi. Ancak, bu dosyaya hiçbir veri yazdırılmasa bile, yazdığınız her bir tuş vuruşu Windows OutputDebugString API’si aracılığıyla basılabilir. Geçerli kullanıcı hesabında çalışan herhangi bir uygulama, bu hata ayıklama bilgilerini görüntüleyebilir ve virüsten koruma programlarına şüpheli görünecek herhangi bir şey yapmadan yazdığınız her tuş vuruşunu yakalar.

Bu olay olup olmadığını kontrol indirmek ve Microsoft’un çalıştırmak için DebugView uygulamasını. DebugView uygulamasına bakın ve klavyenizdeki bazı tuşlara basın.

Conexant ses sürücüsü tuş vuruşlarını yakalamak ve bunları hata ayıklama mesajları olarak yazdırıyorsa, her biri bir scancode bulunan birçok “Mic hedef” satırı görürsünüz. Her satırdaki bilgi, bastığınız anahtarı tanımlar; bu bilgiler, bilgisayarınızdaki hata ayıklama günlüğünü dinleyen bir uygulama varsa, bunlara bastığınız sırayla basmanız gereken her anahtarı yakalamak için kodu çözülebilir.

Tuş vuruşlarına sahip bir MicTray. log dosyası görmüyorsanız ve DebugView’de “Mic hedefi” çıktısı görünmüyorsa, tebrikler. Sisteminizde ses sürücüsü yazılımı yüklü ve çalışmıyor.

Keylogger Nasıl Durdurulur

Veriyle dolu MicTray. log dosyasını görürseniz veya DebugView’de görünen “Mic hedefi” hata ayıklama çıktısını görebilirsiniz, tehlikeli keylogging ses sürücüsünü yüklediyseniz ve devre dışı bırakmanız veya kaldırmanız gerekir.

Bu soruna yönelik düzeltmeler, etkilenen dizüstü bilgisayarlardaki Windows Update aracılığıyla sağlanacaktır. 2016 yılında piyasaya sürülen dizüstü bilgisayarlar için düzeltmeler 11 Mayıs’ta Windows Update’e eklenirken, 2015 yılında piyasaya sürülen dizüstü bilgisayarlar için bir düzeltme, 12 Mayıs’ta olacaktı. En yeni güncellemelere sahip olduğunuzdan emin olmak için Ayarlar> Güncelleme ve güvenlik> Windows Update bölümüne gidin.

Düzeltme henüz yayımlanmadı veya herhangi bir nedenle Windows Update’i çalıştıramazsanız, soruna neden olan yazılımı kaldırabilirsiniz. MicTray. exe veya MicTray64.exe dosyasını silmeniz gerekir. Bu, klavyenizdeki bazı ortam işlev tuşlarının çalışmasını önler, ancak güvenlik için ödemek gereken geçici bir küçük fiyattır.

Önce, görev çubuğunda sağ tıklatıp “Görev Yöneticisi” ni seçerek Görev Yöneticisi’ni açın. “Daha fazla ayrıntı” seçeneğini tıklayın, “Ayrıntılar” sekmesini tıklayın, listedeki MicTray64.exe veya MicTray. exe dosyalarını bulun, sağ tıklayın ve “Görevi Sonlandır” ı seçin.

Ardından, sisteminizdeki MicTray yürütülebilir dosyasını bulun ve silin. Araştırmacılar, bu dosyanın sıklıkla ya ya C:\Windows\system32\MicTray.exeda C:\Windows\system32\MicTray64.exe. Bununla birlikte, sistemimizde bulduk C:\Program Files\CONEXANT\MicTray\MicTray64.exe.

Windows Update gelecekte güncellenmiş bir sürücüyü yüklediğinde, sorunu çözecek ve klavyenizin işlev tuşlarını yeniden etkinleştirecek yeni bir MicTray yürütülebilir dosyayı yüklemesi gerekir.