Обезвреживаем шпионскую программу Spytector

По своей функциональности это не самый продвинутый кейлоггер. Но он сочетает несколько качеств, которые делают его очень популярным, и, поэтому, опасным для пользователей. Главным «достоинством» является скрытность работы этой шпионской программы на компьютере.
Также Spytector сохраняет пароли, которые вводились в браузерах и мессенджерах Internet Explorer, Google Chrome, Opera, FireFox, Safari, Outlook, GoogleTalk, Windows Live Messenger и других приложениях. Кейлоггер может перехватывать целые чаты в популярных мессенджерах — MSN Messenger, Yahoo Messenger, ICQ, AIM. Перехваченную информацию Spytector Keylogger шифрует и отправляет по электронной почте или на FTP сервер.

Тестирование кейлоггера показало, что он не отображается в стандартном диспетчере задач Windows. Функциональность оказалась слабой, и перехват клавиатуры организован тоже не лучшим образом. Но система создания шпионского модуля, позволяет следящему самостоятельно задавать имя, иконку и прописывать шпиону данные версии от другого легального процесса. Это вводит в заблуждение пользователей и является главной фишкой для маскировки работы Spytector на компьютере.

Второй фишкой шпиона является запуск своего экземпляра системного процесса svchost.exe, который и организовывает перехваты данных на компьютере. Идентифицировать его в качестве пособника Spytector практически невозможно. В Windows x64 bit процесс svchost.exe подсвечивается желтым цветом, поскольку запускается из папки SysWOW64 (системный ресурс, используемый для обработки 32-разрядных программ в 64-разрядной версии Windows.). Так реагирует маскировщик на то, что в стандартном варианте системные процессы должны быть запущенны из папки System32. В Windows x32 bit все процессы svchost.exe запускаются из системной папки и понять, какой процесс связан со Spytector практически невозможно.

Spytector

Единственный выход в такой ситуации — это обнаружить модуль слежения, который создаёт ложные экземпляры системных процессов. Просмотрев все возможные активные данные операционной системы мы видим только svchost.exe. Значит нужно искать, что производит запуск этого экземпляра системного процесса при старте операционной системы.
Открываем окно “Монитор автозагрузки”. Искомый модуль может быть в этом окне, и он должен будет подсвечен желтым цветом. (Все новые и неизученные приложения в этом окне всегда будут подсвечиваться желтым цветом). В нашем случаи в этом окне он не был обнаружен, поэтому углубляем свой поиск и открываем окно “Скрытый автозапуск”.

Spytector

В окне скрытого автозапуска обнаруживаем имя легальной программы, которую мы не вносили в автозапуск. Как уже было сказано ранее, шпионская программа скрывает себя под именами других, легальных процессов. Желтым цветом подсвечивается путь к этой программе, которая является модулем Spytector. Обратите внимание на в путь, по которому он находится. Spytector постоянно размещает свой модуль для слежения в папку по адресу C:\Users\ %UserName% \AppData\Local\Microsoft\Windows независимо от того, какое имя он имеет в этот момент. А легальный процесс имеет путь C:\Windows\System32\notepad.exe. Важно отметить, что у модулей кейлоггера никогда не будут повторяться название, и каждый раз, для обнаружения слежения, нужно будет тщательно просматривать рабочие процессы. Безусловно, это хлопотно и не каждый готов проделывать эту процедуру с огромным списком процессов системы.

Spytector

Через контекстное меню удаляем информацию для автозапуска, предварительно удалив файл модуля слежения и базу данных в месте его нахождения.

Spytector

Еще раз проверяем мониторы, чтобы убедиться, что модуль слежения Spytector удалён полностью.

Как видим из тестирования этого не самого продвинутого кейлоггера, обнаружение шпионской программы может быть хлопотным процессом, несмотря на то, что в мониторах COVERT она видна. Для тайного слежения за пользователем шпионские программы используют разные ухищрения. Чтобы не тратить много времени на поиск и не подвергать риску кражи конфиденциальную информацию, работайте с ней внутри платформы программы COVERT. Для входа в защищенную платформу нажмите на кнопку с логотипом программы и надписью: “Вход в платформу защиты”. Все ваши действия с любыми приложениями будут невидимы для шпионских программ.

Spytector

Шпионский модуль кейлоггера Spytector не смог получить какие — либо данные о работе в защищённой среде COVERT, так же, как и все другие шпионские продукты, которые проходили тестирование в нашей лаборатории. Ниже приведен скриншот с логами Spytector.

Spytector

В заключении, как обычно, проверка кейлоггера на сайте virscan.org. Из 49 антивирусов только 9 считают, что эта шпионская программа представляют угрозу пользователю. Вы тоже считаете, что тщательно замаскированный кейлоггер, шифрующий перехваченные данные и отправляющий их на внешнюю электронную почту или FTP сервер не опасен для пользователя? Если у Вас другое мнение, просмотрите список из 40 антивирусов, которые считают шпиона безвредным. Возможно, что установленный на вашем компьютере антивирус среди них.

Spytector

Мы присвоили этой шпионской программе рейтинг RLM: 3 / 6 / 1

Скачайте маскировщик COVERT и БЕСПЛАТНО проверьте — следят ли за вами с помощью Spytector.

Только для рассылки информации о новых версиях и шпионах