Come verificare se il tuo laptop HP ha il keylogger Conexant
Molti laptop HP rilasciati nel 2015 e nel 2016 hanno un grosso problema. Il driver audio fornito da Conexant ha abilitato il codice di debug e registra tutte le sequenze di tasti in un file o le stampa nel registro di debug del sistema, dove il malware potrebbe curiosare su di esse senza sembrare troppo sospetto. Ecco come controllare se il tuo PC è interessato.
Perché il mio computer portatile HP registra le mie sequenze di tasti?
HP afferma di non avere accesso a questi dati e il keylogger in questione non sembra essere dannoso. Non ci sono prove che il keylogger faccia effettivamente qualcosa con le sequenze di tasti che cattura oltre a salvarle sul PC. Tuttavia, questo potrebbe essere pericoloso, in quanto quel registro sensibile di sequenze di tasti sarebbe disponibile per il malware e potrebbe essere archiviato nei backup. In altre parole, non è malizia, solo incompetenza.
Questo sembra essere il debug del codice nel driver audio Conexant, codice che dovrebbe essere stato rimosso da Conexant prima che il driver fosse spedito su PC. La parte del driver che ascolta i tasti di scelta rapida dei supporti registra automaticamente i tasti che vede premere. È stato scoperto dai ricercatori di Modzero.
Come verificare se Keylogger è attivo
Sembra che ci sia un comportamento diverso su diversi laptop HP, a seconda della versione del driver audio che includono. Su molti laptop, il keylogger scrive le battute sul tasto C: \ Users \ Public \ MicTray.log
file. Questo file viene cancellato ad ogni avvio, ma può essere catturato e archiviato nei backup di sistema.
Navigare verso C: \ Users \ Public \
e vedi se hai un file MicTray.log. Fare doppio clic per visualizzare i contenuti. Se vedi le informazioni sulle tue sequenze di tasti, hai installato il driver problematico.
Se vedi i dati in questo file, ti consigliamo di eliminare il file MicTray.log da qualsiasi backup di sistema di cui possa far parte per garantire che i record delle sequenze di tasti vengano cancellati. Dovresti anche eliminare il file MicTray.log da qui per cancellare il record dei tuoi tasti.
Anche se non vedi il file MicTray.log, il tuo laptop HP potrebbe aver precedentemente registrato le sequenze di tasti su questo file prima di scaricare un aggiornamento automatico che lo interrompeva. Dovresti esaminare tutti i backup creati dal tuo PC e rimuovere il file MicTray.log, se lo vedi.
Sul nostro HP Spectre x360, abbiamo visto il file MicTray.log ma aveva una dimensione di 0 KB. Tuttavia, anche se non vengono stampati dati su questo file, ogni singolo tasto digitato può essere stampato tramite l'API OutputDebugString di Windows. Qualsiasi applicazione in esecuzione nell'account utente corrente può visualizzare queste informazioni di debug e acquisire ogni tasto digitato, senza fare nulla che possa apparire sospetto ai programmi antivirus.
Per verificare se questo sta accadendo, scaricare ed eseguire l'applicazione DebugView di Microsoft. Guarda l'applicazione DebugView e premi alcuni tasti sulla tastiera.
Se il driver audio Conexant sta acquisendo sequenze di tasti e li stampi come messaggi di debug, vedrai molte linee "Mic target", ognuna con un codice scancode. Le informazioni su ogni riga identificano il tasto premuto, quindi queste informazioni potrebbero essere decodificate per catturare ciascun tasto premuto nell'ordine in cui vengono premuti, se un'applicazione era in ascolto nel registro di debug sul PC.
Se non vedi un file MicTray.log con le sequenze di tasti al suo interno e non hai alcun output "Mic target" visibile in DebugView, congratulazioni. Il sistema non ha il software del driver audio buggy installato e funzionante.
Come fermare il keylogger
Se vedi il file MicTray.log pieno di dati o puoi vedere l'output di debug "Mic target" visibile in DebugView, hai installato il pericoloso driver audio keylogging e dovresti disabilitarlo o rimuoverlo.
Le correzioni a questo problema arriveranno tramite Windows Update sui laptop interessati. Una correzione per portatili rilasciata nel 2016 è stata aggiunta a Windows Update l'11 maggio, mentre una correzione per portatili rilasciata nel 2015 arriverà il 12 maggio. Vai a Impostazioni> Aggiornamento e sicurezza> Windows Update per assicurarti di avere gli ultimi aggiornamenti.
Se la correzione non è ancora stata rilasciata o se non è possibile eseguire Windows Update per qualche motivo, è possibile rimuovere il software che causa il problema. Sarà necessario eliminare il file MicTray.exe o MicTray64.exe. Ciò impedirà il funzionamento di alcuni tasti funzione della tastiera sulla tastiera, ma questo è un piccolo prezzo temporaneo da pagare per la sicurezza.
Innanzitutto, apri Task Manager facendo clic con il pulsante destro del mouse sulla barra delle applicazioni e selezionando "Task Manager". Fare clic su "Ulteriori dettagli", fare clic sulla scheda "Dettagli", individuare MicTray64.exe o MicTray.exe nell'elenco, fare clic con il tasto destro del mouse e selezionare "Termina operazione".
Quindi, individuare il file eseguibile di MicTray sul proprio sistema ed eliminarlo. I ricercatori indicano che questo file si trova spesso in entrambi C: \ Windows \ system32 \ MicTray.exe
o C: \ Windows \ system32 \ MicTray64.exe
. Tuttavia, sul nostro sistema, lo abbiamo trovato a C: \ Programmi \ CONEXANT \ MicTray \ MicTray64.exe
.
Quando Windows Update installa un driver aggiornato in futuro, dovrebbe installare un nuovo eseguibile MicTray che risolverà il problema e riabiliterà i tasti funzione della tastiera.
Credito fotografico: Amanz Network / Flickr