Monday, June 6, 2011 - 17:19
#

Примеры защиты от шпионов

Шпион для Windows VkurSe (в курсе)
Шпион VkurSe для скрытного мониторинга всех действий на компьютере, может сохранять собранные данные в системе, умеет незаметно отправлять их через интернет на специальный сервер. Предоставляет возможность скрытого наблюдения за компьютером онлайн. Создаёт скриншоты экрана, перехватывает нажатие клавиш клавиатуры, буфер обмена и мн др.

Главное окно шпион для мониторинга VkurSe (в курсе)

Как обнаружить шпиона VkurSe ведущего скрытное наблюдение за компьютером.

Сегодня мы рассмотрим компьютерного шпиона VkurSe, который может воровать информацию о действиях пользователя и передавать через Интернет своему хозяину, оставаясь при этом совсем незамеченным. К нам в лабораторию по изучению шпионских угроз эта программа слежения попала по просьбе одного предпринимателя, он заподозрил утечку информации из своего офиса, но уверял, что на его компьютерах ничего нет, так как классические антишпионские защиты установлены и постоянно проводиться визуальная проверка работающих процессов. Такое бывает очень часто, основная задача разработчиков программ слежения заключается именно в сокрытии своих продуктов в системе и от того насколько тщательно шпион будет скрыт, зависит его главное цель, это кража информации. А наша задача состоит в обратном, это быстрое обнаружение любой скрытой слежки и защита от неё. На основе изучения всевозможных шпионских - компьютерных угроз мы разработали и постоянно усовершенствуем функционал программы антишпиона — маскировщика Mask S.W.B Pro. Её мы и посоветовали установить предпринимателю обратившегося к нам. После проверки компьютера системой мониторинга Mask S.W.B Pro стало ясно, что слежка за офисом осуществлялась с помощью шпионского приложения VkurSe, которое удалённо вело наблюдение за экраном компьютера и высылало ворованные данные на сервер компании разработчика, в личный кабинет злоумышленника.

О том, как обнаружить этот шпион, удалить его из системы или защититься от него, не удаляя с компьютера, расскажем в этой статье.

Шпион VkurSe не обнаруживается в стандартных и не стандартных местах автозагрузки процессов или служб системы. Если изучать систему не имея спец средств или даже специальными приложениями, не имеющими достаточного функционала, то может показаться, что в компьютере слежки нет, которая могла бы запуститься самостоятельно. В маскировщике Mask S.W.B Pro, через который мы проводим исследования системы, есть много специального функционала для выявления различных методов слежения. В окне “Монитор автозагрузки” нажимаем на кнопку “Скрытый автозапуск” и в списке обнаруживаем подсвеченную желтым цветом, библиотеку w2b.dll от шпиона VkurSe. (DLL — это библиотека, содержащая код и данные, которые могут использоваться одновременно более чем одной программой).

Шпионская библиотека DLL в скрытой автозагрузки

Библиотека шпиона w2b.dll используется для установления различных хуков и перехватов в системе, в дальнейшем она была обнаружена выделенная желтым цветом и в списке окна “Монитор DLL” без опознавательных вводимых имён, описаний и других данных.

Шпионская библиотека в мониторе DLL

Но основная и главная её миссия это загружать себя в месте с системой и запускать для слежки скрытый шпионский процесс main.exe, который можно обнаружить только в мониторе скрытых процессов. Во всех других не специальных диспетчерах он не обнаруживается.

Открываем просмотр скрытых процессов в маскировщике, через нажатие кнопки “Скрытые процессы” в окне “Процессы системы”. Сразу видим выделенный красным цветом, скрывающий себя в системе, процесс main.exe от шпионской программы VkurSe.

Модуль шпиона VkurSe в скрытых процессах.

Но это не все сюрпризы, которые шпион использует в системе, в окне “Драйверный монитор” в списке всех драйверов был обнаружен драйвер npf.sys, который использует в своих целях VkurSe.

Драйвер который использует компьютерный шпион VkurSe

Шпион может сохранять украденные данные у пользователя в компьютере, на котором установлен или передавать через сеть Интернет на сервер, где их сможет увидеть злоумышленник. Во втором случае обнаружить передачу данных можно в сетевом мониторе, это шпионский процесс main.exe, если он находиться в активном соединении и не внесён в базу угроз Mask S.W.B Pro.

Процесс main.exe от шпиона VkurSe в сетевом мониторе

Красным цветом он будет подсвечен в момент блокировки его программой Mask S.W.B Pro (Блокировка происходит, если в базу угроз добавлено имя шпионского процесса), или когда шпион себя скрывает в системе, его не возможно идентифицировать, он получает имя Unknown (Неизвестный). Все неизвестные процессы блокируются защитой по умолчанию, так получилось и при исследовании шпиона VkurSe. В момент блокировки шпионского процесса злоумышленник не может вести наблюдение за компьютером онлайн и тем более получать украденную информацию.

Скрытый процесс Unknown от шпиона VkurSe в сетевом мониторе

По всем признакам, описанным выше можно обнаружить шпиона VkurSe в системе.

Для его удаления нужно использовать контекстное меню списков показанных на картинках.

  • 1) Удалить скрытый автозапуск библиотеки w2b.dll.
  • 2) Отключить шпионскую библиотеку w2b.dll в мониторе DLL
  • 3) Открыть папку с приложением и завершить скрытый шпионский процесс main.exe в мониторе скрытых процессов.
  • 4) Удалить драйвер npf.sys
  • 5) Полностью удалить папку со всеми шпионскими файлами, которая была открыта через контекстное меню в пункте 3.
  • 6) Перезагрузить компьютер и проверить через систему мониторинга Mask S.W.B Pro все места возможного нахождения описанные выше.

После проделанных действий скрытый шпион VkurSe будет удалён полностью.

Но если по каким либо причинам Вы не можете, не имеете право или не хотите удалять за собой слежку, но при этом хотите, получит защиту, то достаточно нажать в программе Mask S.W.B Pro большую кнопку с логотипом и надписью “Вход в платформу защиты”. Все ваши действия, которые будут производиться внутри маскировщика, шпион VkurSe не сможет перехватить, увидеть и соответственно сохранить или передать информацию через сеть. Злоумышленник будет думать, что на компьютере ничего не происходило и отчёты шпионских логов будут пустыми.

Окно сохранённых логов шпиона VkurSe

Скачайте программу антишпион — маскировщик Mask S.W.B и проверьте - осуществляется ли за вами скрытая слежка при помощи шпиона VkurSe

Вернуться назад