Monday, June 6, 2011     17:19
#

Примеры защиты от шпионских программ.

Spytech SpyAgent - программа для полного контроля над действиями пользователя. SpyAgent проводит мониторинг работы системы, включая запись нажатий клавиш, запускаемые программы, открываемые файлы и многое другое. Например, позволяет зафиксировать всю онлайн активность - FTP, HTTP, POP3, Chat и любые другие TCP/UDP связи, в том числе все посещенные веб-сайты. Умеет она и делать снимки с экрана, а также отправлять время от времени все собранные данные на указанный e-mail. Кроме этого, есть возможность удаленного управления программой.

Защита от полнофункционального компьютерного шпиона Spytech SpyAgent

Чтобы обнаружить на своём компьютере программу для полного контроля над действиями пользователя Spytech SpyAgent , которая имеет возможность удаленного управления, запускаем маскировщик Mask S.W.B и в главном окне в сетевом мониторе используем функцию просмотра приложений, находящихся в режиме ожидания соединения. Видим выделенный красным цветом процесс rds.exe, который должен организовать доступ к шпиону через сеть.

Слежка от шпиона Spytech SpyAgent обнаружена, но я вам продемонстрирую и другие принадлежащие файлы и процессы, находящиеся в системе, по которым его можно идентифицировать. Открываем окно процессы системы, нажав на кнопку в главном окне программы Mask S.W.B. В списке окна сразу находим, выделенные красным цветом процессы от шпиона, sysdiag.exe и rds.exe, жёлтым цветом в списке выделяются процессы, которые пытаются выдавать себя под системные. Обратите внимание services.exe и svchost.exe это имена системных процессов, без которых система не сможет работать, и многие пользователи даже с определёнными компьютерными знаниями могли бы обмануться и не придать значения при изучении якобы системных процессов. Но в программе Mask S.W.B есть функция отслеживания процессов, пытающихся обмануть систему, используя её имена. Любой процесс обманщик будет выделяться желтым цветом.

По мере нахождения файлов процессов видно, что все они находятся в одной папке, а значит, принадлежат одному шпиону. Через контекстное меню списка открываем папку с приложением, предварительно завершив все шпионские процессы, удаляем всё содержимое в месте с папкой.

На этом хотелось бы сказать, что шпион удалён, но это не так. При проверке драйверного монитора, запущенного с главного окна маскировщика Mask S.W.B, был обнаружен драйвер файловой системы, которого шпион Spytech SpyAgent установил на компьютер для перехвата определённых действий пользователя. При получении информации о драйвере, используя контекстное меню списка, выяснилось, что это драйвер npf.sys (позволяющий приложениям захватывать и передавать сетевые пакеты в обход стека протоколов. Имеет такие дополнительные функции, как фильтрацию пакетов на уровне ядра, движок статистики сети и поддержку удаленного захвата пакетов).

Удаляем драйвер шпиона через пункт в контекстном меню списка драйверного монитора “Удалить драйвер”, для полного удаления, перезагружаем компьютер и теперь можно сказать шпион Spytech SpyAgent удалён полностью.

Для маскировки своих действий от шпиона Spytech SpyAgent не удаляя его из системы, просто заходим в платформу защиты нажимая большую кнопку “Вход в платформу защиты” в главном окне программы Mask S.W.B. Производим различные действия на протяжении длительного времени, выходим из защищённой среды, проверяем шпионские логии и видим, что шпион не смог получить никаких данных, произведённых внутри программы маскировки Mask S.W.B.

P.S. Проверка антивирусными программами слежку от шпиона Spytech SpyAgent в системе не выявила, при конкретном анализе шпионского файла программы угроз не обнаружила.

 

Скачайте программу маскировщик Mask S.W.B, и бесплатно проверьте - осуществляется ли за вами слежка при помощи Spytech SpyAgent

Вернуться назад