Muitos laptops HP lançados em 2015 e 2016 têm um grande problema. O driver de áudio fornecido pelo Conexant tem código de depuração habilitado, e registra todas as suas teclas em um arquivo ou imprime-os no log de depuração do sistema, onde o malware pode espioná-los sem parecer muito suspeito. Veja como verificar se o seu PC foi afetado.
Por que meu laptop HP está registrando minhas teclas?
RELACIONADOS: Keyloggers explicados: O que você precisa saber
HP diz que tem sem acesso a estes dados , e o keylogger em questão não parece ser malicioso. Não há evidência de que o keylogger realmente faça algo com as teclas que ele captura além de salvá-las em seu PC. No entanto, isso pode ser perigoso, pois esse registro sensível de pressionamentos de tecla estaria disponível para malware e pode ser armazenado em backups. Em outras palavras, não é malícia - apenas incompetência.
Este parece ser um código de depuração no driver de áudio Conexant, código que deveria ter sido removido pelo Conexant antes do driver ser enviado aos PCs. A parte do driver que escuta as teclas de atalho de mídia registra automaticamente as teclas que vê você pressionar. Foi descoberto por pesquisadores de Modzero .
Como verificar se o keylogger está ativo
Parece haver um comportamento diferente em diferentes laptops HP, dependendo da versão do driver de áudio que eles incluem. Em muitos laptops, o keylogger grava as teclas digitadas no
C: \ Users \ Public \ MicTray.log
Arquivo. Este arquivo é apagado a cada inicialização, mas pode ser capturado e armazenado em backups do sistema.
Navegar para
C: \ Usuários \ Público \
e veja se você tem um arquivo MicTray.log. Clique duas vezes nele para ver o conteúdo. Se você vir informações sobre seus pressionamentos de tecla, o driver com problema está instalado.
Se você vir dados neste arquivo, desejará excluir o arquivo MicTray.log de qualquer sistema backups pode ser uma parte de garantir que os registros de seus pressionamentos de tecla sejam apagados. Você também deve excluir o arquivo MicTray.log daqui para apagar o registro de suas teclas.
Mesmo que você não veja o arquivo MicTray.log, seu laptop HP pode ter gravado anteriormente as teclas digitadas nesse arquivo antes de fazer o download de uma atualização automática que o interrompeu. Você deve examinar todos os backups criados em seu PC e remover o arquivo MicTray.log, se o vir.
Em nosso HP Spectre x360, vimos o arquivo MicTray.log, mas tinha 0 KB de tamanho. No entanto, mesmo se nenhum dado estiver sendo impresso neste arquivo, cada pressionamento de tecla que você digitar pode ser impresso por meio da API OutputDebugString do Windows. Qualquer aplicativo em execução na conta de usuário atual pode visualizar essas informações de depuração e capturar cada tecla que você digita, sem fazer nada que possa parecer suspeito para programas antivírus.
Para verificar se isso está acontecendo, baixe e execute o Microsoft DebugView inscrição. Olhe para o aplicativo DebugView e pressione algumas teclas do teclado.
Se o driver de áudio Conexant estiver capturando pressionamentos de tecla e imprimindo-os como mensagens de depuração, você verá muitas linhas de "alvo de microfone", cada uma com um scancode. As informações em cada linha identificam a tecla pressionada, portanto, essas informações podem ser decodificadas para capturar cada tecla pressionada na ordem em que foram pressionadas, se um aplicativo estiver ouvindo o log de depuração em seu PC.
Se você não vê um arquivo MicTray.log com pressionamentos de tecla e não tem nenhuma saída de "alvo de microfone" visível no DebugView, parabéns. Seu sistema não tem o software do driver de áudio com bugs instalado e funcionando.
Como parar o keylogger
Se você vir o arquivo MicTray.log cheio de dados ou pode ver a saída de depuração “alvo do microfone” visível no DebugView, você tem o driver de áudio de keylogging perigoso instalado e deve desativá-lo ou removê-lo.
As correções para esse problema chegarão por meio do Windows Update nos laptops afetados. Uma correção para laptops lançada em 2016 foi adicionada ao Windows Update em 11 de maio, enquanto uma correção para laptops lançada em 2015 está prevista para chegar em 12 de maio. Vá para Configurações> Atualização e segurança> Windows Update para garantir que você tenha as atualizações mais recentes.
Se a correção ainda não foi lançada, ou você não pode executar o Windows Update por algum motivo, pode remover o software que está causando o problema. Você precisará excluir o arquivo MicTray.exe ou MicTray64.exe. Isso impedirá que algumas teclas de função de mídia em seu teclado funcionem, mas esse é um pequeno preço temporário a pagar pela segurança.
Primeiro, abra o Gerenciador de Tarefas clicando com o botão direito na barra de tarefas e selecionando “Gerenciador de Tarefas”. Clique em “Mais detalhes”, clique na guia “Detalhes”, localize MicTray64.exe ou MicTray.exe na lista, clique com o botão direito e selecione “Finalizar Tarefa”.
Em seguida, localize o arquivo executável MicTray em seu sistema e exclua-o. Os pesquisadores indicam que este arquivo é frequentemente encontrado em qualquer
C: \ Windows \ system32 \ MicTray.exe
ou
C: \ Windows \ system32 \ MicTray64.exe
. No entanto, em nosso sistema, encontramos em
C: \ Arquivos de programas \ CONEXANT \ MicTray \ MicTray64.exe
.
Quando o Windows Update instalar um driver atualizado no futuro, ele deve instalar um novo executável MicTray que irá corrigir o problema e reativar as teclas de função do teclado.
Crédito da foto: Rede Amanz / Flickr
