Защита от мониторинга программой Kickidler

Судя по количеству выдач в поисковых запросах, программа Kickidler еще не набрала популярности на просторах российского интернета. Поэтому она вряд ли попала бы в поле нашего интереса. Но, оказалось, что ее разработчики учли присутствие на рынке программы COVERT, как средства защиты от слежения, и сделали блокировку входа в защищенную платформу маскировщика. Мы вынуждены их разочаровать – COVERT обнаруживает средства мониторинга до входа в безопасную платформу. А обойти эту блокировку достаточно легко. То, что предлагает Kickidler для слежения просто выявляется.

И еще пару слов о позиционировании этой шпионской программы. На сайте разработчиков программа представлена как средство для повышения эффективности бизнеса, поскольку позволяет найти подчиненных, занимающихся личными делами в рабочее время. Когда такое читаешь, то хочется сказать, что владелец, который верит, что выявление таких подчиненных повысит эффективность его бизнеса, обречен на неудачу. Об этом можно было бы много написать, но не будем это делать в рамках статьи, посвященной обнаружению, удалению или маскировке от очередной шпионской программы.

Обнаруживается присутствие Kickidler в окне Сетевого монитора программы COVERT. Процесс grabber.exe является одним из модулей этой шпионской программы.

Kickidler

Если добавить его в Базу угроз, процесс будет блокироваться маскировщиком и мониторинг прекратится. В новых версиях COVERT этот процесс уже внесен в Базу угроз.

Kickidler

Компьютер, с которого ведется мониторинг, не сможет восстановить связь с вашим компьютером, но попытки эти будут предприниматься постоянно.

Kickidler

Помимо упомянутого процесса, мониторы маскировщика показывают присутствие еще трех модулей, принадлежащих Kickidler. Это служба для передачи данных с именем ngs, процессы grabberAgent.exe и grabberSubAgent.exe.

Чтобы отключить блокировку входа в защищенную платформу маскировщика COVERT, необходимо открыть окно “Процессы системы”, где выделены красным три процесса — grabber.exe, grabberAgent.exe и grabberSubAgent.exe, и правой кнопкой мыши, через контекстное меню для grabberAgent.exe и grabberSubAgent.exe поочередно выбрать пункт “Добавить в базу завершения процессов”. Подтверждаем действия кнопкой сохранить. Процесс grabber.exe не трогаем и удаляем его имя из Базы угроз. Это необходимо для того, чтобы открыть доступ для удаленного мониторинга.
Если его оставить в базе, тогда при запуске маскировщика, удаленный компьютер потеряет связь с компьютером, за которым ведется наблюдение. Если в базе файла не будет, тогда при открытии COVERT и окна процессов системы, файлы, контролирующие блокировку маскировщика и занесённые в базу завершения процессов, автоматически будут остановлены. После этого можно заходить в платформу и на удаленном компьютере ничего не будет видно, кроме рабочего стола. При этом не будет потери связи с компьютером. Окно маскировщика на экране мониторинга программы Kickidler не отображается.

Kickidler

После этих действий можно заходить в защищенную платформу COVERT. Программа Kickidler в это время продолжает работать. В ее интерфейсе будет виден ваш рабочий стол до того, как вы зашли в платформу маскировщика. Все ваши действия внутри защищенной платформы Kickidler увидеть не сможет.

Kickidler

Для того, чтобы полностью отключить мониторинг программой Kickidler, но оставить возможность его восстановления, необходимо предпринять следующие действия. Запустить функцию маскировщика “Службы системы”. Найти в списке службу с именем ngs, которая используется для сбора и передачи информации, и отключить ее через контекстное меню.

Kickidler

После отключения службы, пропадут из списков и вспомогательные процессы grabberAgent.exe и grabberSubAgent.exe, которые можно было видеть в мониторе “Процессы системы”. Эти процессы скрывают себя от диспетчера задач Windows, но COVERT видит их даже в своём обычном мониторе процессов системы, без использования функции поиска скрытых процессов.

Kickidler

Когда работа шпионской программы полностью остановлена, можно входить в платформу защиты COVERT без каких-либо препятствий со стороны Kickidler, и работать в безопасной среде.

Если есть необходимость восстановить мониторинг на вашем компьютере, следует в окне “Службы системы” нажать на кнопку “Всё службы”. В открывшемся списке будут желтым цветом выделены те службы, которые находятся в Базе угроз, но не активны в данный момент. Найдите службу ngs и запустите её через контекстное меню списка, выбрав пункт “Изменить задачи служб” далее “Пуск”.

Kickidler

После восстановления работы ngs, она запустит все дополнительные процессы, которые использовала ранее. Но доступ к вашему компьютеру получит только когда вы закроете программу маскировки COVERT.

Для полного удаления Kickidler с компьютера следует в окне “Службы системы” нажать правой кнопкой мыши на службу ngs и в контекстном меню списка выбрать пункт “Открыть папку службы”.

Kickidler

Удалите всё содержание открывшийся папки, предварительно остановив эту службу через контекстное меню списка служб системы.

Kickidler

Возможность мониторинга за вашим компьютером будет полностью ликвидирована после этих действий.

COVERT позволяет обнаружить, остановить, восстановить или удалить онлайн наблюдение программой Kickidler.

Проверка онлайновым сервисом 19 антивирусными программами показала, что ни одна из них не считает этот код вредоносным. Если эта программа установлена на вашем компьютере, то антивирусы вам об этом не сообщат.

Kickidler

Kickidler

Специалисты нашей лаборатории дали не очень высокую оценку Kickidler по параметрам обнаружения и удаления — RLM: 7 / 2 / 2. Программа имеет неплохой функционал, но легко обнаруживается и удаляется.

Скачайте маскировщик COVERT и БЕСПЛАТНО проверьте — следят ли за вами с помощью Kickidler.

Только для рассылки информации о новых версиях и шпионах