Molti laptop HP rilasciati nel 2015 e nel 2016 presentano un grave problema. Il driver audio fornito da Conexant ha il codice di debug abilitato e neanche questo registra tutte le tue battiture in un file o li stampa nel registro di debug del sistema, dove il malware potrebbe curiosare su di essi senza sembrare troppo sospetto. Ecco come verificare se il tuo PC è interessato.
Perché il mio laptop HP registra le mie battiture?
RELAZIONATO: Spiegazione dei keylogger: cosa devi sapere
HP dice di sì nessun accesso a questi dati e il keylogger in questione non sembra essere dannoso. Non ci sono prove che il keylogger faccia effettivamente qualcosa con le sequenze di tasti che acquisisce oltre a salvarle sul tuo PC. Tuttavia, questo potrebbe essere pericoloso, poiché il registro sensibile delle sequenze di tasti sarebbe disponibile per il malware e potrebbe essere archiviato nei backup. In altre parole, non è malizia, solo incompetenza.
Questo sembra essere il codice di debug nel driver audio Conexant, codice che avrebbe dovuto essere rimosso da Conexant prima che il driver fosse spedito sui PC. La parte del driver che ascolta i tasti di scelta rapida dei media registra automaticamente i tasti che vede premuti. È stato scoperto dai ricercatori di Modzero .
Come verificare se il keylogger è attivo
Sembra esserci un comportamento diverso su diversi laptop HP, a seconda della versione del driver audio che includono. Su molti laptop, il keylogger scrive le sequenze di tasti nel file
C: \ Users \ Public \ MicTray.log
file. Questo file viene cancellato a ogni avvio, ma può essere acquisito e archiviato nei backup di sistema.
Navigare verso
C: \ Users \ Public \
e controlla se hai un file MicTray.log. Fare doppio clic per visualizzare i contenuti. Se vengono visualizzate informazioni sulle sequenze di tasti, è installato il driver problematico.
Se vedi i dati in questo file, ti consigliamo di eliminare il file MicTray.log da qualsiasi sistema backup può essere una parte di per garantire che i record delle tue battiture vengano cancellati. Dovresti anche eliminare il file MicTray.log da qui per cancellare il record delle tue battiture.
Anche se non vedi il file MicTray.log, il tuo laptop HP potrebbe aver già registrato le sequenze di tasti su questo file prima di scaricare un aggiornamento automatico che lo interrompeva. Dovresti esaminare tutti i backup creati sul tuo PC e rimuovere il file MicTray.log, se lo vedi.
Sul nostro HP Spectre x360, abbiamo visto il file MicTray.log ma aveva una dimensione di 0 KB. Tuttavia, anche se nessun dato viene stampato su questo file, ogni singola battitura digitata può essere stampata tramite l'API OutputDebugString di Windows. Qualsiasi applicazione in esecuzione nell'account utente corrente può visualizzare queste informazioni di debug e acquisire ogni battitura digitata, senza fare nulla che possa apparire sospetto ai programmi antivirus.
Per verificare se ciò sta accadendo, scarica ed esegui Microsoft DebugView applicazione. Guarda l'applicazione DebugView e premi alcuni tasti sulla tastiera.
Se il driver audio Conexant cattura le sequenze di tasti e le stampa come messaggi di debug, vedrai molte righe "Mic target", ciascuna con uno scancode. Le informazioni su ciascuna riga identificano il tasto premuto, quindi queste informazioni potrebbero essere decodificate per acquisire ogni tasto premuto nell'ordine in cui vengono premuti, se un'applicazione stava ascoltando il registro di debug sul PC.
Se non vedi un file MicTray.log con sequenze di tasti e non hai alcun output "Mic target" visibile in DebugView, congratulazioni. Il tuo sistema non ha il software del driver audio difettoso installato e in esecuzione.
Come fermare il keylogger
Se vedi il file MicTray.log pieno di dati o puoi vedere l'output di debug "Mic target" visibile in DebugView, hai installato il pericoloso driver audio di keylogging e dovresti disabilitarlo o rimuoverlo.
Le correzioni a questo problema arriveranno tramite Windows Update sui laptop interessati. Una correzione per i laptop rilasciati nel 2016 è stata aggiunta a Windows Update l'11 maggio, mentre una correzione per i laptop rilasciati nel 2015 dovrebbe arrivare il 12 maggio. Vai su Impostazioni> Aggiornamento e sicurezza> Windows Update per assicurarti di avere gli ultimi aggiornamenti.
Se la correzione non è stata ancora rilasciata o non è possibile eseguire Windows Update per qualche motivo, è possibile rimuovere il software che causa il problema. Sarà necessario eliminare il file MicTray.exe o MicTray64.exe. Ciò impedirà il funzionamento di alcuni tasti funzione multimediali sulla tastiera, ma è un piccolo prezzo temporaneo da pagare per la sicurezza.
Innanzitutto, apri Task Manager facendo clic con il pulsante destro del mouse sulla barra delle applicazioni e selezionando "Task Manager". Fare clic su "Ulteriori dettagli", fare clic sulla scheda "Dettagli", individuare MicTray64.exe o MicTray.exe nell'elenco, fare clic con il pulsante destro del mouse e selezionare "Termina operazione".
Quindi, individua il file eseguibile MicTray sul tuo sistema ed eliminalo. I ricercatori indicano che questo file si trova spesso in entrambi
C: \ Windows \ system32 \ MicTray.exe
o
C: \ Windows \ system32 \ MicTray64.exe
. Tuttavia, sul nostro sistema, l'abbiamo trovato in
C: \ Programmi \ CONEXANT \ MicTray \ MicTray64.exe
.
Quando Windows Update installa un driver aggiornato in futuro, dovrebbe installare un nuovo eseguibile MicTray che risolverà il problema e riattiverà i tasti funzione della tastiera.
Diritti d'autore della foto: Rete Amanz / Flickr
