近日,惠普笔记本电脑和平板电脑中的Conexant音频驱动程序存在键盘记录行为被曝光,瑞星安全研究人员介绍,该驱动可被不法分子利用窃取受害者通过键盘输入的的账户信息、信用卡卡号、聊天记录、密码等个人信息。
瑞星安全专家介绍,该按键记录器监控用户所有的按键记录,其他用户或第三方应用均有可能复制按键记录文件并查看用户所有的按键记录,提取到敏感信息,如:用户名、密码等。据瑞星网络威胁态势感知平台显示,自6月1日至7月7日在我国北京、广东、上海等地共检出521次。
国内多家政府机构内部安全通报,提示各单位及时做好漏洞修复工作
图:瑞星态势感知平台监测惠普键盘记录器感染地域分布
瑞星安全专家介绍,该驱动程序的键盘记录器并不是近期才出现的,最早可以追溯于2015年,至今共有近30款惠普笔记本均内置了该程序。因此,广大惠普用户应尽快升级电脑驱动为最新版本。
详细分析报告:
瑞星安全专家发现存在漏洞的程序是随声卡驱动程序安装的麦克风托盘程序,图标如下:
图:麦克风托盘图标
此程序开机后常驻系统托盘,记录键盘信息,以方便用户使用快捷键开关麦克风等功能。开发者编程时通过log文件和输出调试信息的方式方便调试,但是发布时没有取消此功能,就会对用户造成威胁。
威胁分析
瑞星安全专家发现此程序有两种方法记录键盘信息。分别是“写文件”和“输出调试信息”。如果攻击者使用恶意程序攻击存在此漏洞的计算机,恶意程序可以通过读取配置文件的方式,或者通过读取OutputDebugStringW调试信息。获取受害者的账号、密码等通过键盘输入的信息,对受害者的信息安全造成威胁。
通过设置键盘消息钩子获取键盘信息。
图:设置键盘钩子
键盘按下后,触发回调函数,在回调函数中通过写文件或者输出调试信息的方式记录键盘信息。
图:回调函数
写文件或者输出调试信息。
图:判断输出方式
写配置文件方式会把记录的键盘信息写到C:\\Users\Public\MicTray.log文件中。
图:写文件记录按键
输出调试信息方式会使用OutputDebugStringW输出。
图:输出调试信息
检测指标
如果机器的声卡驱动是Conexant 公司,并且存在以下文件,则存在此问题。
程序:
C:\Windows\System32\MicTray64.exe
C:\Windows\System32\MicTray.exe
日志文件:C:\Users\Public\MicTray.log
受影响计算机型号 (未在此列表中,声卡驱动是 Conexant 公司的,也有可能存在此问题)
HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC
受影响操作系统版本
Microsoft Windows 10 32
Microsoft Windows 10 64
Microsoft Windows 10 IOT Enterprise 32-Bit (x86)
Microsoft Windows 10 IOT Enterprise 64-Bit (x86)
Microsoft Windows 7 Enterprise 32 Edition
Microsoft Windows 7 Enterprise 64 Edition
Microsoft Windows 7 Home Basic 32 Edition
Microsoft Windows 7 Home Basic 64 Edition
Microsoft Windows 7 Home Premium 32 Edition
Microsoft Windows 7 Home Premium 64 Edition
Microsoft Windows 7 Professional 32 Edition
Microsoft Windows 7 Professional 64 Edition
Microsoft Windows 7 Starter 32 Edition
Microsoft Windows 7 Ultimate 32 Edition
Microsoft Windows 7 Ultimate 64 Edition
Microsoft Windows Embedded Standard 7 32
Microsoft Windows Embedded Standard 7E 32-Bit
应对方法
1、删除或改名以下文件
C:\Windows\System32\MicTray64.exe
C:\Windows\System32\MicTray.exe
2、访问计算机厂商网页,获取更新后的本机型号对应的声卡驱动。
第三十六届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:chenjian
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
