查看: 3961|回复: 8
收起左侧

[瑞星] 惠普电脑暗藏键盘记录器 瑞星提醒用户尽快升级驱动

[复制链接]
瑞星工程师
发表于 2017-7-7 17:27:10 | 显示全部楼层 |阅读模式
近日,惠普笔记本电脑和平板电脑中的Conexant音频驱动程序存在键盘记录行为被曝光,瑞星安全研究人员介绍,该驱动可被不法分子利用窃取受害者通过键盘输入的的账户信息、信用卡卡号、聊天记录、密码等个人信息。
瑞星安全专家介绍,该按键记录器监控用户所有的按键记录,其他用户或第三方应用均有可能复制按键记录文件并查看用户所有的按键记录,提取到敏感信息,如:用户名、密码等。据瑞星网络威胁态势感知平台显示,自6月1日至7月7日在我国北京、广东、上海等地共检出521次。
国内多家政府机构内部安全通报,提示各单位及时做好漏洞修复工作
图:瑞星态势感知平台监测惠普键盘记录器感染地域分布
瑞星安全专家介绍,该驱动程序的键盘记录器并不是近期才出现的,最早可以追溯于2015年,至今共有近30款惠普笔记本均内置了该程序。因此,广大惠普用户应尽快升级电脑驱动为最新版本。惠普官方公告地址: https://support.hp.com/cn-zh/doc ... h_c-001_title_r0027
详细分析报告:
瑞星安全专家发现存在漏洞的程序是随声卡驱动程序安装的麦克风托盘程序,图标如下:
图:麦克风托盘图标
此程序开机后常驻系统托盘,记录键盘信息,以方便用户使用快捷键开关麦克风等功能。开发者编程时通过log文件和输出调试信息的方式方便调试,但是发布时没有取消此功能,就会对用户造成威胁。
威胁分析
瑞星安全专家发现此程序有两种方法记录键盘信息。分别是“写文件”和“输出调试信息”。如果攻击者使用恶意程序攻击存在此漏洞的计算机,恶意程序可以通过读取配置文件的方式,或者通过读取OutputDebugStringW调试信息。获取受害者的账号、密码等通过键盘输入的信息,对受害者的信息安全造成威胁。
通过设置键盘消息钩子获取键盘信息。
图:设置键盘钩子
键盘按下后,触发回调函数,在回调函数中通过写文件或者输出调试信息的方式记录键盘信息。
图:回调函数
写文件或者输出调试信息。
图:判断输出方式
写配置文件方式会把记录的键盘信息写到C:\\Users\Public\MicTray.log文件中。
图:写文件记录按键
输出调试信息方式会使用OutputDebugStringW输出。
图:输出调试信息
检测指标
如果机器的声卡驱动是Conexant 公司,并且存在以下文件,则存在此问题。
程序:
C:\Windows\System32\MicTray64.exe
C:\Windows\System32\MicTray.exe
日志文件:C:\Users\Public\MicTray.log
受影响计算机型号 (未在此列表中,声卡驱动是 Conexant 公司的,也有可能存在此问题)
HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC
受影响操作系统版本
Microsoft Windows 10 32
Microsoft Windows 10 64
Microsoft Windows 10 IOT Enterprise 32-Bit (x86)
Microsoft Windows 10 IOT Enterprise 64-Bit (x86)
Microsoft Windows 7 Enterprise 32 Edition
Microsoft Windows 7 Enterprise 64 Edition
Microsoft Windows 7 Home Basic 32 Edition
Microsoft Windows 7 Home Basic 64 Edition
Microsoft Windows 7 Home Premium 32 Edition
Microsoft Windows 7 Home Premium 64 Edition
Microsoft Windows 7 Professional 32 Edition
Microsoft Windows 7 Professional 64 Edition
Microsoft Windows 7 Starter 32 Edition
Microsoft Windows 7 Ultimate 32 Edition
Microsoft Windows 7 Ultimate 64 Edition
Microsoft Windows Embedded Standard 7 32
Microsoft Windows Embedded Standard 7E 32-Bit
应对方法
删除或改名以下文件
C:\Windows\System32\MicTray64.exe
C:\Windows\System32\MicTray.exe
访问计算机厂商网页,获取更新后的本机型号对应的声卡驱动。

果团团
发表于 2017-8-26 10:45:13 | 显示全部楼层
啊呀,我要尽快升级驱动啦
反病毒测试员
发表于 2017-8-27 08:46:44 | 显示全部楼层
我没用过惠普电脑
dsfsd
发表于 2017-9-3 18:02:08 | 显示全部楼层
台式机的路过
qq271199810
发表于 2017-9-19 11:15:43 | 显示全部楼层
然而瑞星杀毒对此没有什么反映啊
瑞星工程师
 楼主| 发表于 2017-9-20 15:16:11 | 显示全部楼层
qq271199810 发表于 2017-9-19 11:15
然而瑞星杀毒对此没有什么反映啊

瑞星杀毒软件可以检测相关的文件。
qq271199810
发表于 2017-9-20 15:58:44 | 显示全部楼层
瑞星工程师 发表于 2017-9-20 15:16
瑞星杀毒软件可以检测相关的文件。

哇,回复我了好激动谢谢告知~,请问您是麦青儿吗?
dg1vg4
发表于 2017-9-20 18:45:53 | 显示全部楼层
qq271199810 发表于 2017-9-20 15:58
哇,回复我了好激动谢谢告知~,请问您是麦青儿吗?

应该不是
瑞星工程师
 楼主| 发表于 2017-9-21 13:02:45 | 显示全部楼层
qq271199810 发表于 2017-9-20 15:58
哇,回复我了好激动谢谢告知~,请问您是麦青儿吗?

不是~,她坐我对面。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 19:07 , Processed in 0.144695 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表