Многофункциональная шпионская программа Spytech SpyAgent

Spytech SpyAgent можно отнести к многофункциональным шпионам. Несмотря на отсутствие русскоязычного интерфейса, он является довольно популярным на просторах Рунета. Причина этого, скорее всего, в его богатой функциональности и умении себя скрывать. Мы решили его протестировать и внести в нашу библиотеку, чтобы пользователи знали как удалить шпионскую программу Spytech SpyAgent.

Чтобы обнаружить на компьютере программу, предназначенную для полного контроля над действиями пользователя Spytech SpyAgent, и имеющую возможность удаленного управления, запускаем маскировщик COVERT. В главном окне программы, в «Сетевом мониторе», воспользуемся функцией просмотра приложений, находящихся в режиме ожидания соединения. В списке приложений красным цветом выделен процесс rds.exe, который должен обеспечить доступ к шпиону через сеть.

image003

Таким образом, антишпион-маскировщик COVERT позволяет быстро обнаружить шпионскую программу Spytech SpyAgent. Но есть и другие файлы, и процессы в системе, по которым его можно идентифицировать.
Открываем окно «Процессы системы», нажав на кнопку в главном окне программы COVERT. В появившемся списке сразу находим выделенные красным цветом процессы, принадлежащие шпионской программе — sysdiag.exe и rds.exe. Жёлтым цветом выделяются процессы, которые пытаются выдавать себя за системные. Обратите внимание на services.exe и svchost.exe. Это имена системных процессов, без которых система не сможет работать. Многие пользователи, даже обладающие хорошими компьютерными знаниями, могли бы обмануться и не придать значения этому предупреждению со стороны COVERT. Но в программе COVERT есть функция отслеживания процессов, пытающихся обмануть систему, используя её имена. Любой ложный процесс будет выделяться желтым цветом.

image005

Если посмотреть на колонку «Адрес» в окне «Процессы системы», то бросается в глаза, что файлы процессов, выделенных красным и желтым цветом, находятся в одной папке. Это означает, что они принадлежат одной шпионской программе. Через контекстное меню списка открываем папку с приложением, предварительно завершив все шпионские процессы, удаляем всё содержимое вместе с папкой.

image007

После этой операции кажется, что шпионская программа удалена. Но это не совсем так. Если открыть окно драйверного монитора, запущенного из главного окна маскировщика COVERT, то мы обнаружим драйвер файловой системы, который шпион Spytech SpyAgent установил для перехвата определённых действий пользователя. Через контекстное меню можно получить информацию о драйвере npf.sys. Он позволяет приложениям захватывать и передавать сетевые пакеты в обход стека протоколов. Данный драйвер имеет такие дополнительные функции, как фильтрацию пакетов на уровне ядра, движок статистики сети и поддержку удаленного захвата пакетов.

image009

Удаляем драйвер шпиона через пункт в контекстном меню списка драйверного монитора “Удалить драйвер”. Перезагружаем компьютер и теперь можно с уверенностью сказать, что шпион Spytech SpyAgent удалён полностью.

Для маскировки своих действий от шпиона Spytech SpyAgent, не удаляя его из системы, заходим в платформу защиты, нажимая на кнопку “Вход в платформу защиты” в главном окне программы COVERT. Любые действия, произведенные внутри платформы, не будут перехвачены шпионской программой. В этом можно убедиться, если проверить ее логи после выхода из защищенной среды.

image011

P.S. Проверка антивирусными программами не позволяет обнаружить шпион Spytech SpyAgent в системе. При конкретном анализе шпионского файла, антивирусы угроз не обнаруживают.

image013

Скачайте маскировщик COVERT и БЕСПЛАТНО проверьте — установлены ли на вашем компьютере шпионские программы.

Только для рассылки информации о новых версиях и шпионах