Обнаружение, удаление и защита от обновленного шпиона Mipko Personal Monitor

Мы уже писали об этой шпионской программе. Однако в мире информационных технологий все быстро меняется. Особенно это актуально в области информационной безопасности, поскольку постоянно появляются новые угрозы, а старые становятся все более сложными для поиска и удаления существующими инструментами

Наши тесты новой версии Mipko Personal Monitor показали, что эта программа тоже развивается и научилась себя хорошо защищать. Если предыдущие версии можно было легко обнаружить и удалить с помощью ее деинсталлятора, или просто завершить процесс и удалить папку со всеми файлами шпионской программы, то с новыми версиями шпиона эти способы не работают. При попытке удаления файлов срабатывает блокировка. У шпионской программы появились дублирующие скрытые процессы, которые очень сложно обнаружить.

Однако функционала маскировщика COVERT достаточно, чтобы справиться с усовершенствованной версией.

В главном окне программы нажимаем кнопку “Процессы системы”. Далее выбираем “Скрытые процессы”. В мониторе скрытых процессов видим выделенные красным цветом скрытые процессы шпионской программы Mipko Personal Monitor. Ее стандартный процесс называется MPK.exe. Мы видим, что шпион обзавёлся другими скрывающимися процессами — inspect.exe и MpkL64.exe для 64 битных систем. С помощью контекстного меню добавляем их «Базу угроз» маскировщика.

Процессы Mipko Personal Monitor

Если раньше можно было остановить процесс и удалить шпиона, то в новой версии невозможно завершить эти процессы, так как они постоянно запускаются вновь. Значит, в системе есть другие модули, контролирующий работу основных процессов программы. Переходим в окно сервисов, нажимая на кнопку “Службы системы” в главном окне. Мы видим новую службу с именем сервиса Local Synchronization Host и исполняемый файл lsynchost.exe. Путь нахождения файла службы такой же, как и у Mipko Personal Monitor. Добавляем их в нашу Базу угроз. Других подозрительных процессов в системе не выявлено. Поскольку обнаруженная служба находится в состоянии «остановлена», а в рабочих процессах её нет, то она не работает. Значит существуют другие методы возобновления работы шпионской программы.

Служба Mipko Personal Monitor

Заходим в защищённую среду маскировщика, нажимая в главном окне программы на кнопку “Вход в платформу защиты”.

Внутри защищённой платформы программы COVERT нужно воспользоваться мониторами, в которых мы сможем увидеть все процессы и службы, в том числе и те, которые пытаются себя скрывать, создавая сервис, не имеющий приложения и окон. Открываем монитор «Процессы системы» внутри платформы защиты и видим уже ранее обнаруженные нами процессы Mipko Personal Monitor, выделенные красным цветом. Нашлось и недостающие звено, процесс службы шпиона — lsynchost.exe, который был показан, как остановленный и неработающий. Теперь мы видим, что он не только работает, но их даже два. . Нерабочая служба — это трюк разработчиков программы слежения за пользователями, с которым нам ещё не приходилось встречаться. Эта защита достаточна не только от простых пользователей, но и от специалистов, которым не просто найти и удалить эту программу. Трюк с якобы неработающей службой, невозможно обнаружить даже специальными приложениями. Это значит, что шпионская программа становится практически не удаляемой.

Процесс Mipko Personal Monitor

Антивирусы, которыми мы проверяли файлы Mipko Personal Monitor, угроз не обнаружили.

Avast и Mipko Personal Monitor

Поясним, как работает Mipko Personal Monitor. Программа создаёт ложную, нерабочую службу, которая не имеет своих окон и определённых признаков для обнаружения в мониторах скрытых процессов. Она запускается вместе с операционной системой и создаёт своего двойника. Если останавливается один процесс, другой его сразу перезапускает. Сама программа не прописывается в автозагрузке и в других местах, откуда обычно запускаются приложения и производится поиск антишпионскими программами и специалистами. Ее запускает ложная служба, которая постоянно контролирует ее работу в системе. Как только программа перестаёт работать, ложный сервис ее запускает снова. Сама шпионская программа запускает остальные процессы, и в случае их остановки никак не реагирует. Но как только останавливают программу, служба запускает ее. Остановить программу слежения, не обнаружив ложной службы, просто невозможно, а обнаружить мы её смогли только через защищённую среду программы COVERT.

Есть два способа удалить с вашего компьютера обновленную шпионскую программу Mipko Personal Monitor — без перезагрузки и с перезагрузкой компьютера. Опишем более легкий для понимания пользователей вариант — с перезагрузкой системы.

Поскольку шпионскую программу запускает и контролирует ложная служба, значит нам нужно не допустить запуск этой службы. Отрываем окно «Службы системы» и через контекстное меню удаляем ложную службу Mipko Personal Monitor.

Удаление службы Mipko Personal Monitor

После удаления службы, перегружаем компьютер и полностью удаляем содержимое папки Mipko Personal Monitor вместе с самой папкой. Шпион не будет себя защищать и будет удалён.

Для маскировки своих действий от Mipko Personal Monitor нужно зайти в платформу защиты COVERT и работать как обычно. После выхода из платформы проверяем отчёты шпионской программы и видим, что, как и в прежних версиях, она не может получить никаких данных о действиях, произведённых пользователем в защищённой среде.

Скачайте маскировщик COVERT и БЕСПЛАТНО проверьте — установлен или нет на вашем компьютере Mipko Personal Monitor.

Только для рассылки информации о новых версиях и шпионах