Невидимый шпион Micro Keylogger

Эта шпионская программа относится к одному из самых опасных классов программ слежения. Их очень сложно обнаружить, поскольку они не имеют в операционной системе активных процессов, служб и не использует стандартные методы загрузок своего функционала. Их активность ведется через библиотеки DLL, которые загружаются вместе с системой Windows через системный процесс rundll32.

(DLL или dynamic-link library это файл с дополнительными ресурсами, которые могут использоваться программами и самой операционной системой. В DLL файлы помещают исполняемый код и другие данные необходимые различным программам при их выполнении. Один и тот же DLL файл может использоваться несколькими программами одновременно.)

Собранную информацию шпионская программа передает за считанные секунды на специальный сервер или электронный адрес. Она так же использует системный процесс explorer.exe
(Процесс explorer.exe — это исполняемый файл Проводника Windows.)

MK00

Если мы проверим состояние системы монитором процессов, то не обнаружим присутствия никаких странных процессов. Не будет подозрительных программ и в автозагрузке. Учитывая тот факт, что Micro Keylogger подавляющее большинство антивирусных программ не считает угрозой, можно прийти к ошибочному заключению о том, что компьютер чист и на нем не установлено программное обеспечение, фиксирующее и передающее все действия пользователя. К сожалению, многие так и думают. Но следует еще проверить загруженные во все процессы библиотеки DLL.

Это можно сделать с помощью специальной функции маскировщика COVERT Pro — Монитор DLL. Просмотр состояния операционной системы другими мониторами – драйверов, процессов и служб не дает информации, которая может вызвать подозрение. Если использовать версию маскировщика для компьютера COVERT Pro, которая должна работать с правами администратора, тогда следует выключить контроль учетных записей (UAC) Windows. В противном случае мы не сможем увидеть все шпионские библиотеки, поскольку шпионы не имеют прав администратора и не могут подключаться к программам с такими правами.
Версия COVERT Pro USB может работать без прав администратора и UAC можно не отключать.
Отключить UAC можно через контекстное меню, которое вызывается нажатием правой кнопкой мыши на рамке окна программы.

(UAC — это контроль учетных записей пользователей системы Windows. Функция позволяющая предотвратить несанкционированные изменения в системных файлах компьютера. UAC обеспечивает защиту, запрашивая разрешение или пароль администратора перед совершением потенциально опасных для компьютера действий или при изменении параметров, которые могут оказать влияние на работу других пользователей).

MK07

После изучения списка библиотек можно таким же образом включить UAC обратно.

Теперь перезагружаем компьютер, запускаем программу COVERT Pro и открываем монитор DLL.

В списке загруженных библиотек выделен красным цветом файл core32_3.dll. Это и есть DLL шпионской программы Micro Keylogger. Только сейчас мы узнали, что на нашем компьютере установлена программа слежения за пользовательской активностью. Имя и путь к папке, где установлена эта программа —C:\Windows\security\Syslogs.

MK01

Шпионская программа Micro Keylogger обнаружена. Теперь рассмотрим, как ее удалить. Нажимаем правой кнопкой мыши на красную строку и в контекстном меню и выберем пункт отключить.

MK02

Далее подтверждаем свои действия и для завершения операции перезагружаем компьютер.

MK03

После перезагрузки компьютера шпион Micro Keylogger уже не будет работать.

Теперь следует удалить данные и папку, в которой находятся файлы программы слежения C:\Windows\security\Syslogs.

MK04

Если появится в системе сообщение об ошибке при запуске core32_3.dll, тогда потребуется открыть системный реестр, найти через функцию поиска все параметры, в которых присутствует имя шпионской библиотеки core32_3.dll и удалить их.
Для этого, нажимаем на клавиатуре символ Windows + R, вводим regedit и нажимаем Ok.

MK05

MK06

Для маскировки своих действий от Micro Keylogger, не удаляя его с компьютера, будет достаточно войти в платформу защиты маскировщика, нажав на большую кнопку с логотипом и надписью “Вход в платформу защиты”. Все пользовательские действия в защищённой среде шпионская программа не будет видеть, даже если она находится в активном состоянии.

И как всегда, в конце наших статей предлагается скриншот для оптимистов, считающих, что антивирус на их компьютере защищает от всех угроз, связанных с кражей конфиденциальной информации.

Мы проверили, и вы тоже это можете сделать, файл core32_3.dll на одном из популярных онлайновых сервисов 39 антивирусными программами. Только две из них (5%) увидели угрозу в этой шпионской программе.

core32_3.dll

Скачайте маскировщик COVERT и БЕСПЛАТНО проверьте — следят ли за вами с помощью Micro Keylogger.

Только для рассылки информации о новых версиях и шпионах