Monday, June 6, 2011 - 17:19
#

Примеры защиты от шпионов

Компьютерный шпион Micro Keylogger
Шпион Micro Keylogger невидимый и скрытый кейлоггер в отличие от других клавиатурных шпионов, которые не являются полностью скрытыми. Он работает тихо и не влияют на производительность системы. Скрытно отправляет отчет на электронную почту или FTP сервер. Шпион записует все нажатия клавиш клавиатуры, делает снимки рабочего стола, отслеживает посещение веб-сайтов, имеет возможность отправлять собранные журналы в специально запрограммированные места.

Шпион Micro Keylogger

Обнаружение и удаление компьютерного шпиона Micro Keylogger.

Этот шпион не имеет активных процессов в системе, служб и не использует стандартные методы загрузок своего функционала. Он использует библиотеки DLL

(DLL или dynamic-link library это файл с дополнительными ресурсами, которые могут использоваться программами и самой операционной системой. В DLL файлы помещают исполняемый код и другие данные нужные различным программам при их выполнении. Один и тот же DLL файл может использоваться несколькими программами одновременно.)

и загружает их в месте с системой Windows через системный процесс rundll32.

(Хост-процесс Windows (Rundll32) — компонент операционных систем семейства Microsoft Windows, запускающий программы, находящиеся в динамически подключаемых библиотеках.)

Собранную информацию шпион выкидывает за несколько секунд на специальный сервер или электронный адрес, так же используя системный процесс explorer.exe

(Процесс explorer.exe - это исполняемый файл Проводника Windows.)

Шпион Micro Keylogger использует системный процесс explorer.exe

В мониторах системы нет никаких странных процессов и в автозагрузке, тоже нет подозрительных программ, которые были запущены. Можно сделать заключение, что компьютер чист и не имеет ни каких методов слежки. Но это не так, не изучив загруженные во все процессы библиотеки DLL, нельзя делать такие заключения. Сейчас на примере мы посмотрим, как можно обнаружить шпиона Micro Keylogger через антишпион — маскировщик Mask S.W.B Pro. Открываем программу просматриваем мониторы драйверов, процессов, служб не чего подозрительного не находим и переходим к монитору DLL, выключаем через контекстное меню окна контроль UAC, если он включен.

(При использовании версии Mask S.W.B Pro USB, отключать UAC для анализа монитора DLL не обязательно, в момент запуска программы нужно просто отказаться от прав администратора).

(UAC - это контроль учетных записей пользователей системы Windows. Функция позволяющая предотвратить несанкционированные изменения в системных файлах компьютера. UAC обеспечивает защиту, запрашивая разрешение или пароль администратора перед совершением потенциально опасных для компьютера действий или при изменении параметров, которые могут оказать влияние на работу других пользователей).

Выключить UAС через антишпион Mask S.W.B

Маскировщик работает с правами администратора и его мониторы тоже, не все шпионы могут подключаться к программам с такими правами. По этому для детального изучения и выявления в системе вышеописанной слежки мы отключаем UAC на время анализа системы, позже через это же контекстное меню контроль можно включить обратно.

Перезагружаем компьютер запускаем программу Mask S.W.B Pro и открываем монитор DLL.

В списке загруженных библиотек обнаруживаем красным цветом файл core32_3.dll – это и есть DLL шпион от программы Micro Keylogger. Теперь мы видим у нас в системе шпион, его имя и путь к папке C:\Windows\security\Syslogs, в которой он находится.

Библиотека core32_3.dll от шпиона Micro Keylogger

Шпион от Micro Keylogger обнаружен, теперь рассмотрим, как его обезвредить. Нажимаем правой кнопкой мыши на красную строку и в контекстном меню, выбираем пункт отключить.

Отключить DLL от шпиона Micro Keylogger

Далее подтверждаем свои действия и для завершения операции перезагружаем компьютер.

Шпион Micro Keylogger отключен

После перезагрузки компьютера шпион Micro Keylogger будет нейтрализован.

Следующим действием удаляем данные и папку, в которой находятся файлы от шпиона C:\Windows\security\Syslogs.

Папка шпиона Micro Keylogger

При запуске системы может появиться сообщение об ошибке core32_3.dll, тогда потребуется открыть системный реестр, найти через функцию поиска все параметры, в которых присутствует имя шпионской библиотеки core32_3.dll и удалить их.

Для этого, нажимаем на клавиатуре Win + R, вводим regedit и нажимаем Ok.

Win + R, вводим regedit

Редактор реестра

Для маскировки своих действий от шпиона Micro Keylogger не удаляя его с компьютера, будет достаточно войти в платформу защиты маскировщика, нажав на большую кнопку с логотипом и надписью “Вход в платформу защиты”. Ваши произведённые действия в защищённой среде шпион не будет видеть, даже если он будет, находится в активном состоянии.

Скачайте программу антишпион — маскировщик Mask S.W.B и проверьте - осуществляется ли за вами слежка при помощи шпиона Micro Keylogger

Вернуться назад