VkurSe
Стоит отдать должное разработчикам этой шпионской программы. Остроумное название и нет маркетингового бла-бла о том, как их продукт защищает несмышленых детишек от плохого контента путем тайного подглядывания за ними, выявляет и сдает нерадивых сотрудников умным и трудолюбивым начальникам. Авторы открыто называют свою разработку шпионом. Молодцы.
И действительно, программа максимально старается себя скрыть от пользователя, тайно собирая всю информацию о нем.
А это значит, что мы должны показать, как обезвредить этого шпиона средствами нашего маскировщика.
VkurSe сложно обнаружить стандартными средствами, но в маскировщике COVERT Pro есть достаточно инструментов для обнаружения самых изощренных шпионов.
Открываем «Монитор автозагрузки”, нажимаем на кнопку “Скрытый автозапуск” и в списке запускаемых вместе с операционной системой приложений видим строку, подсвеченную желтым цветом. Это библиотека w2b.dll, которая и принадлежит шпиону VkurSe. (DLL — это библиотека, содержащая код и данные, которые могут использоваться одновременно более чем одной программой).
Библиотека w2b.dll используется для установления различных хуков и перехватов в операционной системе. Мы ее также можем увидеть в мониторе для просмотра библиотек. Открываем окно “Монитор DLL” и видим это же имя без опознавательных выводимых имён, описаний и других данных. Оно тоже выделено желтым цветом.
Основной задачей этой библиотеки является загрузка себя и процесса main.exe вместе с операционной системой. Кстати, сам процесс можно увидеть только в списке скрытых процессов. Открываем окно «Процессы системы» и потом «Скрытые процессы».
Все строки с этим процессом выделены красным цветом потому, что он скрывает себя от системы.
Есть еще один модуль шпиона – драйвер npf.sys. Он выделен красным цветом в окне «Драйверный монитор» потому, что уже занесен в базу угроз маскировщика. Этот драйвер используют многие шпионские программы, которые мы тестировали в нашей лаборатории.
Поскольку шпионская программа может передавать украденную информацию через интернет на сервер злоумышленника, процесс main.exe можно увидеть в момент передачи в сетевом мониторе, если он еще не внесен в базу угроз.
Красным цветом main.exe будет подсвечен если его блокирует COVERT Pro (Блокировка происходит, если в базу угроз добавлено имя шпионского процесса) или в случае, когда шпион себя скрывает в операционной системе и его невозможно идентифицировать. Тогда ему присваивается имя Unknown (Неизвестный). По умолчанию, все неизвестные процессы блокируются маскировщиком. Это произошло и во время тестирования VkurSe. После блокировки шпионского процесса злоумышленник не сможет вести наблюдение за компьютером онлайн и, тем более, получать украденную информацию.
На приведенных выше скриншотах мы показали, как следует удалять модули шпионской программы VkurSe. Все действия производятся через контекстное меню (вызывается правой клавишей мышки).
Вот список необходимых шагов:
1. Удалить скрытый автозапуск библиотеки w2b.dll (монитор скрытой автозагрузки).
2. Отключить библиотеку w2b.dll (монитор DLL).
3. Открыть папку с приложением и завершить скрытый шпионский процесс main.exe (монитор скрытых процессов).
4. Удалить драйвер npf.sys (драйверный монитор).
5. Полностью удалить папку со всеми шпионскими файлами, которая была открыта через контекстное меню в пункте 3 (проводник операционной системы).
6. Перезагрузить компьютер и проверить все мониторы COVERT Pro, которые могут содержать информацию о шпионе.
Если вы не удалите все модули шпиона, но зайдете в платформу защиты COVERT Pro (большая кнопка с логотипом и надписью: «Вход в платформу защиты») и начнете работать, все ваши действия VkurSe не сможет перехватить и сохранить для передачи злоумышленнику. Отчёты шпионских логов будут пустыми.
И в заключении, по нашей традиции, проверка на сайте virscan.org. Только один антивирус из 49 определил, что библиотека w2b.dll опасна для пользователя. Так что вряд ли вы ее найдете без COVERT Pro, если кого-то заинтересует ваша информация и он установит на ваш компьютер этого шпиона.
Мы присвоили этой шпионской программе рейтинг RLM: 5 / 5 / 4
Скачайте маскировщик COVERT и БЕСПЛАТНО проверьте — следят ли за вами с помощью VkurSe.