Monday, June 6, 2011     17:19
#

Примеры защиты от шпионских программ.

PC Pandora – скрывается в системе и контролирует весь компьютер и Интернет-трафик. Делает снимки экрана, получает данные клавиатуры, посещенных веб-сайтов, электронной почты, мгновенные сообщения с мессенджеров и ещё много другой информации. Шпион остается полностью невидимым, записывая все секретные пароли и действия пользователя.

Как обнаружить, удалить и защититься от шпиона PC Pandora

В этот раз мы рассмотрим, скрытого и не стандартного шпиона PC Pandora. У него нет папки, в которой он хранит свои данные, всё забрасывает просто в систему, каждая новая установка на один и тот же или другой компьютер производиться с новыми названиями файлов слежения. По этой причине идентифицировать его по обнаруженным файлам, как шпиона PC Pandora не всегда возможно. У него нет рабочих процессов, служб, драйверов, его нет в авто загрузке и стандартных местах запуска программного обеспечения. Он использует для слежения библиотеки DLL, одну из которых загружает в месте с системой и через неё подключает другие. Никак не влияет на работоспособность компьютера, по которой можно было, что-то заподозрить.

(DLL или dynamic-link library это файл с дополнительными ресурсами, которые могут использоваться программами и самой операционной системой. В DLL файлы помещают исполняемый код и другие данные нужные различным программам при их выполнении. Один и тот же DLL файл может использоваться несколькими программами одновременно.)

Классические методы защиты, отлавливают в системе угрозы, которые занесены ранние в их специальные сигнатурные базы. Если шпиона в их базе нет, то идентифицировать его как угрозу, они не будут. А так как описываемый в этой статье шпион на каждом компьютере устанавливает изменённые данные не такие, как на других компьютерах, то вероятность обнаружение его стандартными способами не большая.

Сейчас на примере продемонстрируем, как обнаружить слежку от шпиона PC Pandora с помощью программы маскировщик Mask S.W.B Pro. Запускаем программу, в главном окне нажимаем кнопку “Монитор DLL” далее отключаем через контекстное меню верхней рамки контроль учётных записей UAC, если он включен.

(UAC - это контроль учетных записей пользователей системы Windows. Функция позволяющая предотвратить несанкционированные изменения в системных файлах компьютера. UAC обеспечивает защиту, запрашивая разрешение или пароль администратора перед совершением потенциально опасных для компьютера действий или при изменении параметров, которые могут оказать влияние на работу других пользователей).

Маскировщик работает с правами администратора и его мониторы тоже, не все шпионы могут подключаться к программам с такими правами. По этому для детального изучения и выявления в системе вышеописанной слежки мы отключаем UAC на время анализа системы, позже через это же контекстное меню контроль можно включить обратно.

(При использовании версии Mask S.W.B Pro USB, отключать UAC для анализа монитора DLL не обязательно, в момент запуска программы нужно просто отказаться от прав администратора).

Перезагружаем компьютер, запускаем программу Mask S.W.B Pro и открываем монитор DLL.

В списке загруженных библиотек обнаруживаем желтым цветом две библиотеки ftpconf.dll и usbweb.dll находящиеся в системной папке, это файлы от шпиона PC Pandora мы это знаем потому, что предварительно сами установили его в систему.

Если бы просто при простом анализе обнаружили такие библиотеки, то попытались бы выяснить, через специальные базы кому они принадлежат, используя контекстное меню списка выбрав пункт “Искать информацию в Интернет”.

И мы видим, что результата нет. Такие библиотеки не принадлежат ни системе, ни одной другой компании.

Более того, у этих библиотек в списке окна маскировщика нет вводного имени, описания, номера версии и не указывается компания разработчика. По этому даже, если бы мы не знали, что эти файлы DLL принадлежат шпиону PC Pandora, то всё равно бы их удалили. Но так и не узнали бы, кому они принадлежат.

И так, слежка от шпиона PC Pandora обнаружена, теперь рассмотрим, как его обезвредить.

Нажимаем правой кнопкой мыши на желтую строку и в контекстном меню, выбираем пункт отключить. В появившемся сообщении подтверждаем свои намерения, и тоже самое проделываем со вторым файлом от шпиона.

Следующим действием для завершения операции перезагружаем компьютер.

После перезагрузки компьютера шпион PC Pandora будет нейтрализован.

При запуске системы может появиться сообщение об ошибке ftpconf.dll, тогда потребуется открыть системный реестр, найти через функцию поиска все параметры, в которых присутствует имя шпионской библиотеки ftpconf.dll и удалить их.

Для этого, нажимаем на клавиатуре Win + R, вводим regedit и нажимаем Ok.

Для маскировки своих действий от шпиона PC Pandora не удаляя его с компьютера, будет достаточно войти в платформу защиты маскировщика, нажав на большую кнопку с логотипом и надписью “Вход в платформу защиты”. Ваши произведённые действия в защищённой среде шпион не будет видеть, даже если его не удалять и он будет, находится в активном состоянии.

Скачайте программу маскировщик Mask S.W.B, и бесплатно проверьте - осуществляется ли за вами слежка при помощи шпиона PC Pandora.

Вернуться назад