Monday, June 6, 2011 - 17:19
#

Примеры защиты от шпионов

Компьютерный шпион Mipko Personal Monitor (NEW)
Mipko Personal Monitor шпион с функциональным интерфейсом для мониторинга активности пользователей компьютера. Keylogger отслеживает нажатия на клавиши, запущенные программы и операции с файлами, делает снимки экрана и сохраняет записи разговоров в Skype®, а так же перехватывает сообщения ICQ, ВКонтакте, Facebook®. Незаменимый клавиатурный шпион скрывает свою активность в системе, что исключает своё обнаружение наблюдаемым.

Шпион Mipko Personal Monitor (NEW)

Обнаружение, удаление и защита от обновленного шпиона Mipko Personal Monitor.

В своих предыдущих статьях мы уже описывали методы обнаружения и маскировки от этого шпиона. Но в компьютерном мире ничего не стоит на месте, при повторном изучении новых версий выяснилось, что шпион Mipko начал себя защищать. Если предыдущие версии можно было обнаружить и спокойно удалить, через его деинсталлятор или просто завершить процесс и удалить всю папку, то с новыми версиями шпиона так не выйдет, при удалении файлов срабатывает блокировка. У шпиона появились дублирующие скрытые процессы, подставные службы с невероятно скрытыми действиями, которые очень сложно отследить или обнаружить. Но не для антишпиона — маскировщика Mask S.W.B. Сейчас я вам подробно расскажу и наглядно продемонстрирую, как обнаружить усовершенствованную слежку и как от неё избавиться. В главном окне программы маскировки, нажимаем кнопку “Процессы системы”, далее выбираем кнопку “Скрытые процессы” и в мониторе обнаруживаем выделенные красным цветом скрытые процессы от шпиона Mipko. Его стандартный процесс MPK.exe, и мы видим, что шпион обзавёлся другими скрывающими себя процессами inspect.exe и MpkL64.exe для 64 битных систем. (Используя контекстное меню, добавляем их все в “Базу угроз).

Скрытые процессы MPK.exe, inspect.exe и MpkL64.exe от шпиона Mipko

Если раньше можно было остановить процесс и удалить шпиона, то в новой версии невозможно завершить эти процессы, так как они постоянно запускаются вновь. Значит, в системе есть, кто-то ещё, контролирующий работу основных процессов слежения. Переходим в окно сервисов, нажимая на кнопку в главном окне “Службы системы” и видим новую появившуюся службу от изучаемого шпиона с именем сервиса Local Synchronization Host и исполняемым файлом lsynchost.exe (добавляем имя файла в “Базу угроз) путь нахождения файла службы такой же, как и у шпиона Mipko. Других подозрительных процессов в системе выявлено не было, а эта служба в состоянии остановлена и в рабочих процессах её нет, то есть она, по сути не работает. Тогда кто?

Служба lsynchost.exe от шпиона Mipko

Заходим в защищённую среду маскировщика нажимая в главном окне программы на кнопку “Вход в платформу защиты”.

Внутри защищённой платформы программы Mask S.W.B, нужно дополнительно просматривать мониторы приложения, в которых мы будем видеть все процессы, службы, в том числе и те, которые пытаются себя скрывать, создавая сервис, не имеющий приложения и окон. Открываем окно процессы системы внутри платформы защиты и видим уже известные обнаруженные нами ранее процессы от шпиона Mipko выделенные красным цветом и самое главное нашлось недостающее звено, процесс службы шпиона lsynchost.exe который был показан, как остановленный и нерабочий, работает даже в двойном экземпляре. Нерабочая служба это обман от разработчиков программы слежки, такого мы ещё не встречали, это сделано не для простых пользователей, а именно для специалистов которые должны искать и удалять эту программу, чтобы ввести их в заблуждение. А так как этот процесс от якобы не рабочей службы, невозможно обнаружить даже специальными приложениями, то программа шпион становится практически не удаляемая.

Процессы от шпиона Mipko

Проверяли реакцию антивирусов на исследуемого шпиона, отрицательная, угроз не обнаружено.

Аваст угроз не обнаружено

Теперь немного о том, как работает эта защита, шпион создаёт ложную нерабочую службу, которая не имеет своих окон и определённых признаков для обнаружения в мониторах скрытых процессов, запускаясь вместе с системой, создаёт своего двойника для контроля друг-друга, если останавливается один процесс, другой его сразу запускает. Сам шпион не прописывается в автозагрузке и в других местах, откуда обычно запускаются приложения и производятся поиск антишпионскими программами и компьютерными спецами. Его запускает ложная служба и постоянно контролирует его работу в системе, как только он перестаёт работать, ложный сервис его сразу запускает снова. А сам шпион запускает остальные процессы и в случае их остановки никто не реагирует, но как только останавливают его, служба запускает шпиона, а шпион всех остальных. Остановить слежку не обнаружив ложной службы, просто не возможно, а обнаружить мы её смогли только через защищённую среду программы Mask S.W.B.

Есть два способа удалить с вашего компьютера обновленную шпионскую программу слежки Mipko Personal Monitor, это без перезагрузки и с перезагрузкой компьютера. Расскажем и покажем более легкий для понимания простых пользователей, вариант второй с перезагрузкой системы.

Шпиона запускает и контролирует ложная служба, а шпион контролирует после своего запуска её. Значит, нам нужно не допустить запуск этого сервиса и тогда не запуститься сам шпион. Отрываем окно службы системы и через контекстное меню удаляем ложную службу шпиона Mipko.

Удалить службу от шпиона Mipko

После удаления службы перезапускаем компьютер и полностью удаляем содержимое папки шпиона Mipko в месте с самой папкой. Шпион не сможет себя защищать и будет удалён.

Для маскировки своих действий от шпиона Mipko всё осталось по-прежнему, заходим в платформу защиты Mask S.W.B и производим различные действия, выходим, проверяем отчёты шпиона и видим, что как и раньше он не может получить никаких данных произведённых в защищённой среде.

Скачайте программу антишпион — маскировщик Mask S.W.B и проверьте - осуществляется ли за вами слежка при помощи Mipko Personal Monitor

Вернуться назад