Найти и обезвредить WebWatcher

Эта шпионская программа, как и многие ей подобные, позиционирует себя как инструмент для родителей и менеджеров, который дает возможность контролировать детей и сотрудников. Такая позиция позволяет избежать попадание в сигнатурные базы антивирусов и работать незаметно на компьютерах.

Возможно, что таких родителей и руководителей много, но мы не исключаем и того факта, что желающих следить за другими и воровать чужую информацию с помощью этой программы тоже немало. Достаточно задать в поисковых системах соответствующие запросы и появятся десятки тысяч страниц с советами, как найти и удалить эту программу. Возможно, что это родителям надоело подглядывать или просто им стало стыдно и они поняли, что их дети тоже личности, которые нужно уважать. Но мы допускаем, что это могут быть и жертвы шпионажа, которые хотят найти и обезвредить его инструмент. Этой статьей мы хотим им помочь.

WebWatcher работает очень скрытно. Его нет ни в процессах, ни в службах, и среди драйверов он отсутствует. Обычными средствами его сложно найти. Но в профессиональной версии COVERT Pro есть средства, позволяющие находить таких хорошо замаскированных шпионов даже неспециалистам.

Многие шпионские программы легко обнаруживаются в сетевом мониторе маскировщика в момент передачи ими информации в интернет. Но WebWatcher действует значительно тоньше и изощреннее. Он использует для этой цели подставные процессы, которые никак с ним не ассоциируются.
Первый процесс — iexplore.exe (веб-браузер Micosoft Internet Explorer), второй — svchost.exe (главный системный процесс для загружаемых и динамичных библиотек). Оба процесса принадлежат операционной системе и нет ничего необычного в том, что они находятся в мониторе сети.

WebWatcher

Попробуем найти шпиона с помощью специальных функций “Монитор DLL” и “Анализ файла svchost.exe”.

Открываем “Монитор DLL” и отключаем через контекстное меню (наводим курсором на верхнюю рамку окна программы и нажимаем на правую кнопку) контроль учётных записей UAC, если он включен.

(UAC — это контроль учетных записей пользователей системы Windows. Функция позволяющая предотвратить несанкционированные изменения в системных файлах компьютера. UAC обеспечивает защиту, запрашивая разрешение или пароль администратора перед совершением потенциально опасных для компьютера действий или при изменении параметров, которые могут оказать влияние на работу других пользователей).

Маскировщик работает с правами администратора, так же, как и все его мониторы. Не все шпионы могут подключаться к программам с такими правами. Поэтому, для детального изучения и выявления в системе программ мониторинга, мы отключаем UAC на время анализа системы. Потом можно будет его восстановить через это же меню.

(При использовании версии COVERT Pro USB, отключать UAC для анализа монитора DLL не обязательно, но в этом случае, в момент запуска программы, нужно будет отказаться от прав администратора).

Перезагружаем компьютер, запускаем программу COVERT Pro и опять открываем “Монитор DLL”.
В списке загруженных библиотек мы видим три библиотеки mcsc_wqjhqb.dll, shim_hkcuob.dll и mcapp_dehbkb.dll, выделенные желтым цветом, которые находятся в папке qtqhdtg, по адресу C:\Windows\System32\qtqhdtg. Это файлы WebWatcher. Мы это знаем потому, что предварительно сами установили его на компьютере. Если вы видите строки, выделенные желтым цветом, желательно выяснить, кому принадлежат эти файлы. Нажимаем правой кнопкой мыши на жёлтую строку и в контекстном меню выбираем пункт “Искать информацию в Интернет”.

WebWatcher""

Информацию об этих библиотеках не удалось найти, поскольку они не принадлежат ни операционной системе Майкрософт, ни другой, известной компании.

WebWatcher

У этих библиотек в списке окна маскировщика нет имени, описания и не указывается компания разработчика. В таких ситуациях неизвестные файлы DLL нужно удалять.

Теперь запускаем функцию “Службы системы”, далее “Скрытые службы”, и в контекстном меню выбираем пункт “Анализ файла svchost.exe”.

WebWatcher

Эта функция разработана специально для выявления шпионских программ, которые маскируются под системные процессы. В открывшимся окне зелёным цветом выделены системные службы и библиотеки, которые работают через процесс svchost.exe. Желтым цветом отображены те, которые маскируются под системный процесс. В нашем случае мы сразу видим службу программы WebWatcher с именем сервиса svcboot_yvnhea, работающую под видом системного процесса, с динамически подключаемой библиотекой svcboot_yvnhea.dll. И находится она по тому же пути, что и шпионские библиотеки, которые были обнаружены ранее.

WebWatcher

Теперь все компоненты WebWatcher обнаружены с помощью функций COVERT Pro.

Для удаления шпионской программы WebWatcher открываем окно “Монитор DLL” в главном окне маскировщика, правой кнопкой мыши выделяем строку со шпионским модулем и в контекстном меню выбираем пункт “Отключить”. Эту операцию проделываем поочередно для всех шпионских файлов. Если всё сделано правильно, строки со шпионскими файлами станут серыми и появится сообщение об успешно выполненной операции.

WebWatcher

Переходим в “Скрытые службы” и выбираем в контекстном меню “Анализ файла svchost.exe”. В списке правой кнопкой мыши выбираем строку с присоединенным файлом от шпионской программы. В контекстном меню, в подразделе “Изменить задачи служб” нажимаем пункт “Отключить DLL”. Если операция пройдет успешно, строка с номером, именем и адресом DLL станут серого цвета.

WebWatcher

Далее перезагружаем компьютер. Библиотеки, которые использовала шпионская программа будут отключены. Но нам нужно ещё удалить папку с оставшимися файлами и информацию о нём в операционной системе. В окне скрытых служб выбираем пункт, в котором сохранилась информация о шпионе, и в контекстном меню выбираем “Открыть папку служб” и далее пункт “DLL”. Удаляем всё содержимое вместе с папкой. После этого в подменю “Изменить задачи служб” нажимаем пункт “Очистить систему”.

WebWatcher

После всех проделанных действий, шпион WebWatcher будет удалён полностью.

Если по какой-либо причине вы не можете или не хотите удалять шпиона WebWatcher со своего компьютера, но хотите скрыть (замаскировать) свои действия от него, вводя следящего за вами в заблуждение, тогда зайдите в платформу защиты COVERT Pro. Все ваши действия, производимые в защищённой среде, программа WebWatcher не сможет перехватить и увидеть. Отчеты на шпионский сервер, будут, отправятся пустыми.

WebWatcher

На наш взгляд WebWatcher представляет из себя шпионскую программу с богатой функциональностью и очень хорошо себя скрывающую. В нашей классификации шпионских программ мы присвоили ей рейтинг RLM: 6/8/6

И в заключение, как обычно, онлайновое тестирование шпионской библиотеки 39 антивирусами. Только шесть из них посчитали этот файл угрозой для компьютера. Выводы делайте сами.

WebWatcher

Скачайте маскировщик COVERT и БЕСПЛАТНО проверьте — следят ли за вами с помощью WebWatcher.

Только для рассылки информации о новых версиях и шпионах