6月,国家某部委下属网络安全和信息化领导小组办公室发布公告,通报了惠普电脑存在隐藏键盘记录器问题。
瑞士安全公司Modzero的安全研究员就发现许多惠普笔记本电脑和平板电脑中的Conexant音频驱动程序变身为键盘记录器, 记录用户的输入内容。
键盘记录器可以监测用户的每一次击键信息。
该软件不仅捕获特定按键的输入记录,而且还记录了每个按键的点击信息,并将它们存储在一个可读的文件中( C:\Users\Public\MicTray.log)。
恶意软件或木马可以利用这一点绕过对可疑行为的安全检测,获取记录文件,窃取用户的账户信息、信用卡卡号、聊天记录、密码等个人信息。
研究人员发现,与Conexant音频驱动程序安装包一起安装的MicTray64.exe应用程序已在Windows系统中注册为计划任务,能够监控键盘输入内容。
用户的键盘记录保存在名为“Users/Public”的文件夹中,可以传送给OutputDebugString调试端口,这个端口允许通过MapViewOfFile函数访问该文件夹中的数据。
“显然,有一些控制音频硬件的部件是非常具体的,并且取决于计算机型号,例如用于打开或关闭麦克风的特殊键或控制计算机上的记录LED。在这个代码中,它似乎是针对HP计算机而定制的,这个代码拦截和处理所有的键盘输入。”
Modzero报告中进一步指出,这种类型的调试将音频驱动程序转换成键盘式间谍软件。
根据文件信息,这个键盘记录器至少在2015年圣诞节前已经存在于惠普电脑上。
2016年10月,惠普更新了MicTray64.exe,增添了诊断功能,记录用户击键内容并存储到本地文件夹。
目前,共有30种型号的惠普电脑装有1.0.0.46版本的MicTray64.exe。
MicTray64.exe 1.0.0.46版本进行击键记录的具体过程如下:
记录功能激活之后,用户每按一次键盘,就会触发以下代码执行:
该漏洞被记录为“CVE - CVE-2017-8360”漏洞,已经影响了28款惠普笔记本电脑和平板电脑。
Modzero的安全专家推断其他厂商出产的电脑如果装有Conexant硬件或驱动程序,也可能存在类似风险。
以下为存在问题的电脑型号:
HP EliteBook 820 G3 Notebook PC HP EliteBook 828 G3 Notebook PC HP EliteBook 840 G3 Notebook PC HP EliteBook 848 G3 Notebook PC HP EliteBook 850 G3 Notebook PC HP ProBook 640 G2 Notebook PC HP ProBook 650 G2 Notebook PC HP ProBook 645 G2 Notebook PC HP ProBook 655 G2 Notebook PC HP ProBook 450 G3 Notebook PC HP ProBook 430 G3 Notebook PC HP ProBook 440 G3 Notebook PC HP ProBook 446 G3 Notebook PC HP ProBook 470 G3 Notebook PC HP ProBook 455 G3 Notebook PC HP EliteBook 725 G3 Notebook PC HP EliteBook 745 G3 Notebook PC HP EliteBook 755 G3 Notebook PC HP EliteBook 1030 G1 Notebook PC HP ZBook 15u G3 Mobile Workstation HP Elite x2 1012 G1 Tablet HP Elite x2 1012 G1 with Travel Keyboard HP Elite x2 1012 G1 Advanced Keyboard HP EliteBook Folio 1040 G3 Notebook PC HP ZBook 17 G3 Mobile Workstation HP ZBook 15 G3 Mobile Workstation HP ZBook Studio G3 Mobile Workstation HP EliteBook Folio G1 Notebook PC
惠普电脑用户可以检查电脑硬盘,如果发现下列文件之一,就表明击键记录已经被获取:
C:\Windows\System32\MicTray64.exe C:\Windows\System32\MicTray.exe
一旦发现以上可执行的文件,可将其删除或将文件重命名,以禁止MicTray驱动器继续读取击键记录。并且删除“用户-公共文档”中的MicTray.log日志文件夹。
瑞士安全公司Modzero的安全研究员就发现许多惠普笔记本电脑和平板电脑中的Conexant音频驱动程序变身为键盘记录器, 记录用户的输入内容。
键盘记录器可以监测用户的每一次击键信息。
该软件不仅捕获特定按键的输入记录,而且还记录了每个按键的点击信息,并将它们存储在一个可读的文件中( C:\Users\Public\MicTray.log)。
恶意软件或木马可以利用这一点绕过对可疑行为的安全检测,获取记录文件,窃取用户的账户信息、信用卡卡号、聊天记录、密码等个人信息。
研究人员发现,与Conexant音频驱动程序安装包一起安装的MicTray64.exe应用程序已在Windows系统中注册为计划任务,能够监控键盘输入内容。
用户的键盘记录保存在名为“Users/Public”的文件夹中,可以传送给OutputDebugString调试端口,这个端口允许通过MapViewOfFile函数访问该文件夹中的数据。
“显然,有一些控制音频硬件的部件是非常具体的,并且取决于计算机型号,例如用于打开或关闭麦克风的特殊键或控制计算机上的记录LED。在这个代码中,它似乎是针对HP计算机而定制的,这个代码拦截和处理所有的键盘输入。”
Modzero报告中进一步指出,这种类型的调试将音频驱动程序转换成键盘式间谍软件。
根据文件信息,这个键盘记录器至少在2015年圣诞节前已经存在于惠普电脑上。
2016年10月,惠普更新了MicTray64.exe,增添了诊断功能,记录用户击键内容并存储到本地文件夹。
目前,共有30种型号的惠普电脑装有1.0.0.46版本的MicTray64.exe。
MicTray64.exe 1.0.0.46版本进行击键记录的具体过程如下:
记录功能激活之后,用户每按一次键盘,就会触发以下代码执行:
该漏洞被记录为“CVE - CVE-2017-8360”漏洞,已经影响了28款惠普笔记本电脑和平板电脑。
Modzero的安全专家推断其他厂商出产的电脑如果装有Conexant硬件或驱动程序,也可能存在类似风险。
以下为存在问题的电脑型号:
HP EliteBook 820 G3 Notebook PC HP EliteBook 828 G3 Notebook PC HP EliteBook 840 G3 Notebook PC HP EliteBook 848 G3 Notebook PC HP EliteBook 850 G3 Notebook PC HP ProBook 640 G2 Notebook PC HP ProBook 650 G2 Notebook PC HP ProBook 645 G2 Notebook PC HP ProBook 655 G2 Notebook PC HP ProBook 450 G3 Notebook PC HP ProBook 430 G3 Notebook PC HP ProBook 440 G3 Notebook PC HP ProBook 446 G3 Notebook PC HP ProBook 470 G3 Notebook PC HP ProBook 455 G3 Notebook PC HP EliteBook 725 G3 Notebook PC HP EliteBook 745 G3 Notebook PC HP EliteBook 755 G3 Notebook PC HP EliteBook 1030 G1 Notebook PC HP ZBook 15u G3 Mobile Workstation HP Elite x2 1012 G1 Tablet HP Elite x2 1012 G1 with Travel Keyboard HP Elite x2 1012 G1 Advanced Keyboard HP EliteBook Folio 1040 G3 Notebook PC HP ZBook 17 G3 Mobile Workstation HP ZBook 15 G3 Mobile Workstation HP ZBook Studio G3 Mobile Workstation HP EliteBook Folio G1 Notebook PC
惠普电脑用户可以检查电脑硬盘,如果发现下列文件之一,就表明击键记录已经被获取:
C:\Windows\System32\MicTray64.exe C:\Windows\System32\MicTray.exe
一旦发现以上可执行的文件,可将其删除或将文件重命名,以禁止MicTray驱动器继续读取击键记录。并且删除“用户-公共文档”中的MicTray.log日志文件夹。
就有十个昵称币,如此反复即可刷上去。请原谅我水帖,我想改名
