Monday, June 6, 2011 - 17:19
#

Примеры защиты от шпионов

Spytech SpyAgent — шпион для полного контроля над действиями пользователя. SpyAgent проводит мониторинг работы системы, включая запись нажатий клавиш, запускаемые программы, открываемые файлы и многое другое. Например, позволяет зафиксировать всю онлайн активность - FTP, HTTP, POP3, Chat и любые другие TCP/UDP связи, в том числе все посещенные веб-сайты. Умеет она и делать снимки с экрана, а также отправлять время от времени все собранные данные на указанный e-mail. Кроме этого, есть возможность удаленного управления программой.

Шпион Spytech SpyAgent

Защита от полнофункционального компьютерного шпиона Spytech SpyAgent

Чтобы обнаружить на своём компьютере программу для полного контроля над действиями пользователя шпиона Spytech SpyAgent , которая имеет возможность удаленного управления, запускаем маскировщик Mask S.W.B и в главном окне в сетевом мониторе используем функцию просмотра приложений, находящихся в режиме ожидания соединения. Видим выделенный красным цветом процесс rds.exe, который должен организовать доступ к шпиону через сеть.

Процесс rds.exe от шпиона Spytech SpyAgent

Слежка от шпиона Spytech SpyAgent обнаружена, но я вам продемонстрирую и другие принадлежащие файлы и процессы, находящиеся в системе, по которым его можно идентифицировать. Открываем окно процессы системы, нажав на кнопку в главном окне программы Mask S.W.B. В списке окна сразу находим, выделенные красным цветом процессы от шпиона, sysdiag.exe и rds.exe, жёлтым цветом в списке выделяются процессы, которые пытаются выдавать себя под системные. Обратите внимание services.exe и svchost.exe это имена системных процессов, без которых система не сможет работать, и многие пользователи даже с определёнными компьютерными знаниями могли бы обмануться и не придать значения при изучении якобы системных процессов. Но в программе Mask S.W.B есть функция отслеживания процессов, пытающихся обмануть систему, используя её имена. Любой процесс обманщик будет выделяться желтым цветом.

Процессы sysdiag.exe и rds.exe от шпиона Spytech SpyAgent

По мере нахождения файлов процессов видно, что все они находятся в одной папке, а значит, принадлежат одному шпиону. Через контекстное меню списка открываем папку с приложением, предварительно завершив все шпионские процессы, удаляем всё содержимое в месте с папкой.

Папка шпиона Spytech SpyAgent

На этом хотелось бы сказать, что шпион удалён, но это не так. При проверке драйверного монитора, запущенного с главного окна маскировщика Mask S.W.B, был обнаружен драйвер файловой системы, которого шпион Spytech SpyAgent установил на компьютер для перехвата определённых действий пользователя. При получении информации о драйвере, используя контекстное меню списка, выяснилось, что это драйвер npf.sys (позволяющий приложениям захватывать и передавать сетевые пакеты в обход стека протоколов. Имеет такие дополнительные функции, как фильтрацию пакетов на уровне ядра, движок статистики сети и поддержку удаленного захвата пакетов).

Драйвер npf.sys установленный шпионом Spytech SpyAgent

Удаляем драйвер шпиона через пункт в контекстном меню списка драйверного монитора “Удалить драйвер”, для полного удаления, перезагружаем компьютер и теперь можно сказать шпион Spytech SpyAgent удалён полностью.

Для маскировки своих действий от шпиона Spytech SpyAgent не удаляя его из системы, просто заходим в платформу защиты нажимая большую кнопку “Вход в платформу защиты” в главном окне программы Mask S.W.B. Производим различные действия на протяжении длительного времени, выходим из защищённой среды, проверяем шпионские логии и видим, что шпион не смог получить никаких данных, произведённых внутри программы маскировки Mask S.W.B.

Шпион Spytech SpyAgent пустое окно

P.S. Проверка антивирусными программами слежку от шпиона Spytech SpyAgent в системе не выявила, при конкретном анализе шпионского файла программы угроз не обнаружила.

Аваст угроз не обнаружено

Скачайте программу антишпион — маскировщик Mask S.W.B и проверьте - осуществляется ли за вами слежка при помощи Spytech SpyAgent

Вернуться назад