惠普计算机所有者:检查MICTRAY COXANT KEYLOGGER
今天,虽然微软在构建主题演讲中拓宽了Windows 10 S和Hololens的美德,但许多拥有惠普机器的人将会处理新的意外的技术问题。
瑞士安全公司Modzero AG发布了一份白皮书(PDF),其中包含有关某些HP音频驱动程序的键盘记录器的详细信息。Keylogger将位于公用文件夹C:/Users/public/mictray.log的文件中的所有击键的记录存储在文件中。
[InfoWorld您是否涵盖了Windows 10的所有阶段。下载Windows 10安装SuperGuide和Ultimate Windows 10 Survivor套件,既可用为PDF。使用Windows报告时事通讯留在关键的Microsoft技术。]幸运的是,有一种简单的方法来检查云台键盘电动机是否在您的机器上,如果是的话,可以摆脱它。
根据Modzero,Keylogger是针对Conexant音频芯片的驱动程序集的一部分。Modzero说:在其安全咨询中说:
已知受影响的软件包:
近期和以前(Q2 / 2017)HP AudioDriver包/ Conexant高清(HD)音频驱动程序版本10.0.931.89 Rev:q通过:5(ftp://whp-aus1.cold.extweb.hp.com/pub/softpaq/sp79001-79500/sp79420.html)probiably其他硬件供应商,运输Conexant硬件和驱动程序安全咨询继续列出已知几乎30 HP机器可以使用不良驱动程序,包括运行Windows 10和Win7的EliteBook,Probook,Zbook和Elite X2型号。它是一个令人印象深刻的阵容,包括许多当前模型。
Modzero表示,它发现证据证明有问题的行为返回2015年12月。今天仍然存在驱动程序版本1.0.0.46。
感染方法似乎足够简单:
Conexant“的MICtray64.exe”安装了Conexant音频驱动程序包,并在每个用户登录后注册为Microsoft计划任务以运行。该程序监视用户所做的所有击键才能捕获和反应麦克风静音/取消静音键/热键。通过实现通过调用setwindowshookex()安装的低级键盘输入挂钩函数来添加对击键的监视。
除了处理热键/函数键笔划之外,所有密钥分段信息都被写入世界可读路径中的日志文件(C:/Users/public/mictray.log)。如果Logfile不存在或在Windows注册表中尚未使用设置,则所有keystrokes都传递给OptoundDebugString API,这使得当前用户上下文中的任何进程都可以在不曝光恶意行为的情况下捕获击键。任何具有访问MapViewOffile API的框架和进程都应该能够通过捕获用户的击键来静默捕获敏感数据。
我不知道司机如何通过Microsoft认证,但显然它有。
以下是Modzero提出的消毒方法:
HP计算机的所有用户都应检查程序C:/Windows/System32/mictray64.exe或C:/Windows/System32/mictray.exe。我们建议您删除或重命名可执行文件,以便不再录制击键。但是,键盘上的特殊功能键可能不再按预期工作。如果C:/Users/public/mictray.log文件存在于硬盘驱动器上,也应立即删除它,因为它可以包含大量敏感信息,例如登录信息和密码。
我会进一步走一步。如果您有一个Conexant音频芯片 - Speccy会告诉您 - 通过这些步骤,确保MICtray64.exe重命名,并删除MICtray.log的当前和备份副本。
Modzero对它来自HP的Runramound不满意。本集团表示,它于4月28日返回MICTRAY 1.0.0.31中的键盘记录器。Modzero在同一天联系了Conexant,并且当在最新的音频驱动程序中找到Keylogger时,它会在5月1日联系HP Enterprise。然后于5月5日,Modzero获得了HP Enterprise的回复,“试图在HP Inc的安全人员达到致力于引起注意”。看起来像HP Enterprise和HP Inc.不互相交谈 - 我打赌他们现在开始说话。
讨论继续在askwoody休息室。