Невидимый шпион Micro Keylogger
Эта шпионская программа относится к одному из самых опасных классов программ слежения. Их очень сложно обнаружить, поскольку они не имеют в операционной системе активных процессов, служб и не использует стандартные методы загрузок своего функционала. Их активность ведется через библиотеки DLL, которые загружаются вместе с системой Windows через системный процесс rundll32.
(DLL или dynamic-link library это файл с дополнительными ресурсами, которые могут использоваться программами и самой операционной системой. В DLL файлы помещают исполняемый код и другие данные необходимые различным программам при их выполнении. Один и тот же DLL файл может использоваться несколькими программами одновременно.)
Собранную информацию шпионская программа передает за считанные секунды на специальный сервер или электронный адрес. Она так же использует системный процесс explorer.exe
(Процесс explorer.exe — это исполняемый файл Проводника Windows.)
Если мы проверим состояние системы монитором процессов, то не обнаружим присутствия никаких странных процессов. Не будет подозрительных программ и в автозагрузке. Учитывая тот факт, что Micro Keylogger подавляющее большинство антивирусных программ не считает угрозой, можно прийти к ошибочному заключению о том, что компьютер чист и на нем не установлено программное обеспечение, фиксирующее и передающее все действия пользователя. К сожалению, многие так и думают. Но следует еще проверить загруженные во все процессы библиотеки DLL.
Это можно сделать с помощью специальной функции маскировщика COVERT Pro — Монитор DLL. Просмотр состояния операционной системы другими мониторами – драйверов, процессов и служб не дает информации, которая может вызвать подозрение. Если использовать версию маскировщика для компьютера COVERT Pro, которая должна работать с правами администратора, тогда следует выключить контроль учетных записей (UAC) Windows. В противном случае мы не сможем увидеть все шпионские библиотеки, поскольку шпионы не имеют прав администратора и не могут подключаться к программам с такими правами.
Версия COVERT Pro USB может работать без прав администратора и UAC можно не отключать.
Отключить UAC можно через контекстное меню, которое вызывается нажатием правой кнопкой мыши на рамке окна программы.
(UAC — это контроль учетных записей пользователей системы Windows. Функция позволяющая предотвратить несанкционированные изменения в системных файлах компьютера. UAC обеспечивает защиту, запрашивая разрешение или пароль администратора перед совершением потенциально опасных для компьютера действий или при изменении параметров, которые могут оказать влияние на работу других пользователей).
После изучения списка библиотек можно таким же образом включить UAC обратно.
Теперь перезагружаем компьютер, запускаем программу COVERT Pro и открываем монитор DLL.
В списке загруженных библиотек выделен красным цветом файл core32_3.dll. Это и есть DLL шпионской программы Micro Keylogger. Только сейчас мы узнали, что на нашем компьютере установлена программа слежения за пользовательской активностью. Имя и путь к папке, где установлена эта программа —C:\Windows\security\Syslogs.
Шпионская программа Micro Keylogger обнаружена. Теперь рассмотрим, как ее удалить. Нажимаем правой кнопкой мыши на красную строку и в контекстном меню и выберем пункт отключить.
Далее подтверждаем свои действия и для завершения операции перезагружаем компьютер.
После перезагрузки компьютера шпион Micro Keylogger уже не будет работать.
Теперь следует удалить данные и папку, в которой находятся файлы программы слежения C:\Windows\security\Syslogs.
Если появится в системе сообщение об ошибке при запуске core32_3.dll, тогда потребуется открыть системный реестр, найти через функцию поиска все параметры, в которых присутствует имя шпионской библиотеки core32_3.dll и удалить их.
Для этого, нажимаем на клавиатуре символ Windows + R, вводим regedit и нажимаем Ok.
Для маскировки своих действий от Micro Keylogger, не удаляя его с компьютера, будет достаточно войти в платформу защиты маскировщика, нажав на большую кнопку с логотипом и надписью “Вход в платформу защиты”. Все пользовательские действия в защищённой среде шпионская программа не будет видеть, даже если она находится в активном состоянии.
И как всегда, в конце наших статей предлагается скриншот для оптимистов, считающих, что антивирус на их компьютере защищает от всех угроз, связанных с кражей конфиденциальной информации.
Мы проверили, и вы тоже это можете сделать, файл core32_3.dll на одном из популярных онлайновых сервисов 39 антивирусными программами. Только две из них (5%) увидели угрозу в этой шпионской программе.
Скачайте маскировщик COVERT и БЕСПЛАТНО проверьте — следят ли за вами с помощью Micro Keylogger.