Monday, June 6, 2011     17:19
#

Примеры защиты от шпионских программ.

Mipko Personal Monitor — шпион с функциональным интерфейсом для мониторинга активности пользователей компьютера. Keylogger отслеживает нажатия на клавиши, запущенные программы и операции с файлами, делает снимки экрана и сохраняет записи разговоров в Skype®, а так же перехватывает сообщения ICQ, ВКонтакте, Facebook®.

Обнаружение, удаление и защита от обновленного шпиона Mipko Personal Monitor.

В своих предыдущих статьях мы уже описывали методы обнаружения и маскировки от этого шпиона. Но в компьютерном мире ничего не стоит на месте, при повторном изучении новых версий выяснилось, что шпион Mipko начал себя защищать. Если предыдущие версии можно было обнаружить и спокойно удалить, через его деинсталлятор или просто завершить процесс и удалить всю папку, то с новыми версиями шпиона так не выйдет, при удалении файлов срабатывает блокировка. У шпиона появились дублирующие скрытые процессы, подставные службы с невероятно скрытыми действиями, которые очень сложно отследить или обнаружить. Но не для маскировщика Mask S.W.B. Сейчас я вам подробно расскажу и наглядно продемонстрирую, как обнаружить усовершенствованную слежку и как от неё избавиться. В главном окне программы маскировки, нажимаем кнопку “Процессы системы”, далее выбираем кнопку “Скрытые процессы” и в мониторе обнаруживаем выделенные красным цветом скрытые процессы от шпиона Mipko. Его стандартный процесс MPK.exe, и мы видим, что шпион обзавёлся другими скрывающими себя процессами inspect.exe и MpkL64.exe для 64 битных систем. (Используя контекстное меню, добавляем их все в “Базу угроз).

Если раньше можно было остановить процесс и удалить шпиона, то в новой версии невозможно завершить эти процессы, так как они постоянно запускаются вновь. Значит, в системе есть, кто-то ещё, контролирующий работу основных процессов слежения. Переходим в окно сервисов, нажимая на кнопку в главном окне “Службы системы” и видим новую появившуюся службу от изучаемого шпиона с именем сервиса Local Synchronization Host и исполняемым файлом lsynchost.exe (добавляем имя файла в “Базу угроз) путь нахождения файла службы такой же, как и у шпиона Mipko. Других подозрительных процессов в системе выявлено не было, а эта служба в состоянии остановлена и в рабочих процессах её нет, то есть она, по сути не работает. Тогда кто?

Заходим в защищённую среду маскировщика нажимая в главном окне программы на кнопку “Вход в платформу защиты”.

Внутри защищённой платформы программы Mask S.W.B, нужно дополнительно просматривать мониторы приложения, в которых мы будем видеть все процессы, службы, в том числе и те, которые пытаются себя скрывать, создавая сервис, не имеющий приложения и окон. Открываем окно процессы системы внутри платформы защиты и видим уже известные обнаруженные нами ранее процессы от шпиона Mipko выделенные красным цветом и самое главное нашлось недостающее звено, процесс службы шпиона lsynchost.exe который был показан, как остановленный и нерабочий, работает даже в двойном экземпляре. Нерабочая служба это обман от разработчиков программы слежки, такого мы ещё не встречали, это сделано не для простых пользователей, а именно для специалистов которые должны искать и удалять эту программу, чтобы ввести их в заблуждение. А так как этот процесс от якобы не рабочей службы, невозможно обнаружить даже специальными приложениями, то программа шпион становится практически не удаляемая.

Проверяли реакцию антивирусов на исследуемого шпиона, отрицательная, угроз не обнаружено.

Теперь немного о том, как работает эта защита, шпион создаёт ложную нерабочую службу, которая не имеет своих окон и определённых признаков для обнаружения в мониторах скрытых процессов, запускаясь вместе с системой, создаёт своего двойника для контроля друг-друга, если останавливается один процесс, другой его сразу запускает. Сам шпион не прописывается в автозагрузке и в других местах, откуда обычно запускаются приложения и производятся поиск антишпионскими программами и компьютерными спецами. Его запускает ложная служба и постоянно контролирует его работу в системе, как только он перестаёт работать, ложный сервис его сразу запускает снова. А сам шпион запускает остальные процессы и в случае их остановки никто не реагирует, но как только останавливают его, служба запускает шпиона, а шпион всех остальных. Остановить слежку не обнаружив ложной службы, просто не возможно, а обнаружить мы её смогли только через защищённую среду программы Mask S.W.B.

Есть два способа удалить с вашего компьютера обновленную шпионскую программу слежки Mipko Personal Monitor, это без перезагрузки и с перезагрузкой компьютера. Расскажем и покажем более легкий для понимания простых пользователей, вариант второй с перезагрузкой системы.

Шпиона запускает и контролирует ложная служба, а шпион контролирует после своего запуска её. Значит, нам нужно не допустить запуск этого сервиса и тогда не запуститься сам шпион. Отрываем окно службы системы и через контекстное меню удаляем ложную службу шпиона Mipko.

После удаления службы перезапускаем компьютер и полностью удаляем содержимое папки шпиона Mipko в месте с самой папкой. Шпион не сможет себя защищать и будет удалён.

Для маскировки своих действий от шпиона Mipko всё осталось по-прежнему, заходим в платформу защиты Mask S.W.B и производим различные действия, выходим, проверяем отчёты шпиона и видим, что как и раньше он не может получить никаких данных произведённых в защищённой среде.

Скачайте программу маскировщик Mask S.W.B, и бесплатно проверьте - осуществляется ли за вами слежка при помощи Mipko Personal Monitor.

Вернуться назад