Monday, June 6, 2011 - 17:19
#

Примеры защиты от шпионов

Шпион Spytector Keylogger
Шпион Spytector Keylogger эффективный кейлоггер соответствующий для корпоративного и частного контроля ПК. Поддерживает широкий спектр операционных систем, Windows. Кейлоггер записывает все действия пользователя ПК и отправляет сделанные зашифрованные лог-файлы по электронной почте или FTP. Невидим на рабочем столе и скрыт в стандартном диспетчере задач системы.

Главное окно шпиона Spytector Keylogger

Обнаружение и удаление модуля слежения компьютерного шпиона Spytector Keylogger.

В лаборатории по изучению шпионских угроз мы исследуем много различного шпионского материала и каждый из них по своему изощрен и опасен. В этой статье пойдёт речь о шпионе Spytector Keylogger в описаниях о нём сказано, что он хорошо перехватывает нажатие клавиш клавиатуры, шифрует собранные логии, отправляет их по электронной почте или на FTP сервер. И главное, что он в системе надёжно скрыт и невидим для программ защищающих компьютер.

Установив шпионский модуль, от кейлоггера Spytector стало ясно, он не отображается в стандартном диспетчере задач Windows, не имеет своей папки нахождения, активируется автоматически, каждый раз может иметь новое имя. Функционал слежения слабый, да и перехват клавиатуры организован тоже не лучшим образом. Но система создания шпионского модуля, которая организована у него, позволяет следящему самостоятельно задавать имя, иконку и прописывать шпиону данные версии от другого легального процесса.

Это конечно сильное решение для введения в заблуждение большинства пользователей компьютеров и на это делается первая ставка по сокрытию кейлоггера в системе. Вторая ставка это то, что шпион запускает свой экземпляр системного процесса svchost.exe и через него организовывает перехваты действий производимых на компьютере.

В таком случаи идентифицировать его, как шпиона от модуля Spytector практически не возможно. В Windows x64 bit процесс svchost.exe подсвечивается желтым цветом потому, что запускается из папки SysWOW64 (системный ресурс, используемый для обработки 32-разрядных программ в 64-разрядной версии Windows), в стандартном варианте системные процессы, должны быть запущенны из папки System32 и по этому маскировщик реагирует на такие действия. В Windows x32 bit все процессы svchost.exe запускаются из системной папки по этому понять, какой процесс от модуля слежения Spytector практически не возможно.

Монитор процессы системы антишпион Mask S.W.B

Единственный выход в такой ситуации это обнаружить модуль слежения, который создаёт лживые экземпляры системных процессов. Просмотрев все возможные активные данные системы стало ясно, что кроме запущенного им процесса svchost.exe ничего больше нет. Значит, для нейтрализации слежки достаточно найти и удалить модуль, который на старте системы активирует или создаёт экземпляр системного процесса.

Открываем и просматриваем окно “Монитор автозагрузки” шпионский модуль может быть в этом окне и он будет подсвечен желтым цветом. (Все новые и неизученные приложения в этом окне всегда будут подсвечиваться желтым цветом). В нашем случаи в этом окне он не был обнаружен, идём дальше и нажимаем на кнопку “Скрытый автозапуск”.

Открыть окно скрытый автозапуск

В окне скрытого автозапуска обнаруживаем, что искали. Желтым цветом подсвечивается столбик пункта, в котором мы видим прописанный путь к модулю слежения от шпиона Spytector.

Компьютерный шпион в скрытом автозапуске

Через контекстное меню списка удаляем информацию для авто запуска, предварительно удалив файл модуля слежения и базу данных в месте его нахождения.

Шпионы выдающие себя за системные процессы

После проделанных действий перезагружаем компьютер, проверяем мониторы и видим, что модуль слежения от шпиона Spytector удалён полностью.

Разработчики программ шпионов постоянно выдумывают новые способы слежения и сокрытия своих продуктов в компьютерных системах и для того, чтобы не допустить никакой утечки личной информации, используйте метод маскировки предоставляемый нашей компанией в антишпионе Mask S.W.B. Каждый раз, когда нужно производить какие либо действия, о которых ни кто не должен знать, делайте это внутри защищённой платформы маскировщика Mask S.W.B. В главном окне нажмите на кнопку с логотипом программы и надписью “Вход в платформу защиты”, внутри запускайте приложения, с которыми работаете повседневно.

Вход в платформу защиты антишпиона Mask S.W.B

Все производимые действия будут скрыты от перехвата шпионскими программами, даже, если шпионы на компьютере остались незамеченными. Шпионский модуль от кейлоггера Spytector не смог перехватить никакие данные, которые мы производили в защищённой среде Mask S.W.B, как и все остальные шпионские продукты, которые проходили тестирование ранее.

Окно шпиона Spytector Keylogger

Скачайте программу антишпион — маскировщик Mask S.W.B и проверьте - осуществляется ли за вами скрытая слежка при помощи шпиона Spytector Keylogger

Вернуться назад