Аудиодрайвер ноутбуков HP по ошибке действовал как кейлоггер
Фирма modzero, специализирующаяся на вопросах безопасности, обнаружила кейлоггер в ряде ноутбуков HP. Он скрывался в нетривиальном месте — аудиодрайвере.
Швейцарская фирма modzero, специализирующаяся на вопросах безопасности, 28 апреля обнаружила кейлоггер в ноутбуках HP, а 11 мая оповестила об этом публику. Эту неприятную функциональность нашли в драйвере Conexant HD Audio Driver Package версии 1.0.0.46.
Этот аудиодрайвер лучше всего описывается словом «кейлоггер», поскольку записывает все нажатия клавиш и сохраняет информацию в локальном файле, доступ к которому может получить любой человек, обладающий физическим доступом к компьютеру, или вредоносное ПО, которое знает, где искать.
А искать надо в одном из файлов аудиодрайвера, MicTray64.exe (C:\windows\system32\mictray64.exe).
И как так вышло?
Основная цель MicTray64.exe — считывать все нажатия клавиш, сделанные пользователем, чтобы зафиксировать и отреагировать на нажатие клавиш управления звуком. Кейлоггером его делает то, что все данные сохраняются в файле MicTray.log, который находится в папке C:\users\public, а значит, прочитать или скопировать этот файл может кто угодно. Он обновляется при каждом входе пользователя в систему.
Если же данный файл не существует, или ключ реестра, отвечающий за путь к файлу, был поврежден, аудиодрайвер передает собранную информацию локальному API OutputDebugString. Таким образом злоумышленники могут следить за тем, что вы набираете у себя на клавиатуре в режиме «онлайн», без опасений быть обнаруженными.
И в каких ноутбуках есть этот аудиодрайвер?
Исследователи modzero обнаружили предустановленный Conexant HD Audio Driver Package на 28 моделях ноутбуков HP. Другие модели, использующие этот драйвер, тоже могут быть затронуты, но официально это не подтверждено. Вот список уязвимых моделей:
На данный момент этот блок не поддерживается, но мы не забыли о нём! Наша команда уже занята его разработкой, он будет доступен в ближайшее время.
На данный момент этот блок не поддерживается, но мы не забыли о нём! Наша команда уже занята его разработкой, он будет доступен в ближайшее время.
HP все исправила
12 мая HP выпустила обновление, чтобы убрать кейлог-механизм из драйвера своих ноутбуков. Оно уже доступно для моделей как 2016, так и 2015 года. Получить его можно через Центр обновлений Windows или по этой прямой ссылке. Примечание к обновлению можно найти здесь.
Обновление HP не только удаляет возможности кейлоггера, но также файл, куда сохранялись все нажатия клавиш. Пользователи, имеющие резервные копии, должны проявить осторожность, чтобы не восстановить более старую версию этого файла. Напомним, что он обычно хранится по адресу C:\Users\Public\MicTray.log.
Вице-президент HP Майк Нэш отметил, что дополнительная «функциональность» аудиодрайвера была побочным результатом процесса отладки — её просто забыли удалить. На устройствах других производителей, использующих такую же версию драйвера, кейлоггер обнаружен не был.
В ноутбуках HP найден встроенный кейлоггер
Почти 30 различных моделей компьютеров компании Hewlett-Packard на операционной системе Windows могут записывать каждое нажатие на клавишу и сохранять данные в файл, доступ к которому есть у любого пользователя компьютера. Швейцарская компания Modzero недавно нашла этот кейлоггер в аудиопрограмме под названием MicTray. Список затронутых моделей можно найти здесь. Программа находится на компьютерах как минимум с 2015 года.
Разработчиками этой программы могут быть HP или компания Conexant, которая производит компоненты для компьютеров HP. Создано это приложение вовсе не с целью записывать действия пользователей. Программа должна определять, нажал ли пользователь определённое сочетание клавиш для активации аппаратных функций аудио. Например, она может следить за тем, включен или выключен микрофон. Также у приложения есть функции диагностики и отладки.
Все нажатия на клавиши хранятся в доступном для чтения формате по адресу C:\Users\Public\MicTray.log. В этот файл могут попасть пароли и имена пользователей. Файл перезаписывается при каждом входе в систему, но при необходимости данные можно попытаться восстановить.
Обладателей компьютеров HP могут проверить, установлена ли у них программа, по адресу C:\Windows\System32\MicTray64.exe или C:\Windows\System32\MicTray.exe. Если она существует, рекомендуется удалить её или переименовать, хотя в результате перестанут работать некоторые мультимедийные кнопки.
После этого нужно перейти по адресу C:\Users\Public\MicTray.log и удалить этот файл. Он может быть скрыт, поэтому в проводнике нужно включить просмотр скрытых файлов. При выполнении регулярного резервного копирования содержимого жёсткого диска файл может находиться и там. В данный момент HP распространяет новые аудиодрайверы через центр обновления Windows и на сайте HP.com.
Как удалить MicTray64
Подлинный файл является одним из компонентов программного обеспечения Conexant SmartAudio II, разработанного Conexant .
MicTray64 — это аббревиатура от Microphone Tray (64-bit)
MicTray64.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли MicTray64.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.
Вот так, вы сможете исправить ошибки, связанные с MicTray64.exe
- Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
- Обновите программу mic tray icon. Обновление можно найти на сайте производителя (ссылка приведена ниже).
- В следующих пунктах предоставлено описание работы MicTray64.exe.
Информация о файле MicTray64.exe
Процесс mic tray icon или MicTray принадлежит программе неизвестно от Conexant (www.conexant.com).
Описание: MicTray64.exe не является необходимым для Windows. MicTray64.exe находится в подпапках «C:\Program Files». Известны следующие размеры файла для Windows 10/11/7 2,719,832 байт (75% всех случаев) или 2,719,320 байт.
У процесса нет видимого окна. Это не системный процесс Windows. Это файл, подписанный Verisign. Нет информации по файлу. Сертифицировано надежной компанией. MicTray64.exe способен записывать ввод данных. Поэтому технический рейтинг надежности 32% опасности.
Если MicTray64.exe находится в папке C:\Windows\System32, тогда рейтинг надежности 36% опасности. Размер файла 2,758,232 байт. У процесса нет видимого окна. Нет описания файла. Это файл, подписанный Verisign. Это не системный процесс Windows. Сертифицировано надежной компанией.
Важно: Некоторые вирусы маскируют себя как MicTray64.exe, особенно, если они расположены в каталогах c:\windows или c:\windows\system32. Таким образом, вы должны проверить файл MicTray64.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
Пока нет комментариев пользователей. Почему бы не быть первым, кто добавить небольшой комментарий и одновременно поможет другим пользователям?
Лучшие практики для исправления проблем с MicTray64
Аккуратный и опрятный компьютер — это главное требование для избежания проблем с MicTray64. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
Следующие программы могут вам помочь для анализа процесса MicTray64.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.
MicTray64 сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Инструмент ремонта ПК бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
В 20 моделях устройств HP обнаружен кейлоггер
Более двух десятков моделей ноутбуков и планшетов HP поставляются со встроенным кейлоггером. Устройства без ведома пользователей записывают нажатия клавиш на клавиатуре и хранят их в незашифрованном файле на жестком диске. Как сообщают эксперты швейцарской ИБ-компании Modzero, кейлоггер встроен в аудиодрайвер производства Conexant. Компонент драйвера MicTray64.exe является исполняемым файлом, позволяющим драйверу отвечать, когда пользователь нажимает определенные клавиши. Как оказалось, файл отправляет все строки на интерфейс отладки или записывает в журнал регистрации на диске C компьютера. «Подобный способ отладки успешно превращает аудиодрайвер в шпионскую программу. Судя по метаданным файлов, кейлоггер присутствует в компьютерах HP по крайней мере с Рождества 2015 года», — сообщили исследователи. Файл журнала (находится в C:\Users\Public\MicTray.log) перезаписывается после каждой перезагрузки компьютера. Однако существует несколько способов, позволяющих его содержимому сохраняться в течение нескольких недель или даже постоянно. К примеру, перезаписанную или удаленную информацию можно легко восстановить с помощью инструментов для криминалистической экспертизы. Если регулярно делаются резервные копии содержимого компьютера, в бэкапах содержится все, что пользователь когда-либо набирал на клавиатуре, в том числе пароли, электронные письма и контакты. Кейлоггер присутствует в устройствах HP EliteBook, HP ProBook, HP ZBook и HP Elite. Пользователи могут проверить свои компьютеры на наличие файла C:\Windows\System32\MicTray.exe или C:\Windows\System32\MicTray64.exe. Проблема также может затрагивать продукты других производителей, использующих аудиодрайверы Conexant. Исследователи сообщили о кейлоггере HP и Conexant, однако ответа так и не получили, поэтому опубликовали подробный отчет о проблеме в Сети.