Cómo verificar si su portátil HP tiene el Conexant Keylogger
Muchas computadoras portátiles HP lanzadas en 2015 y 2016 tienen un problema importante. El controlador de audio provisto por Conexant tiene el código de depuración habilitado y registra todas las pulsaciones de teclas en un archivo o las imprime en el registro de depuración del sistema, donde el malware podría detectarlas sin parecer demasiado sospechoso. A continuación le indicamos cómo comprobar si su PC está afectada..
¿Por qué mi computadora portátil HP registra mis pulsaciones de teclado??
HP dice que no tiene acceso a estos datos, y el keylogger en cuestión no parece ser malicioso. No hay evidencia de que el keylogger realmente haga algo con las pulsaciones que captura más allá de guardarlas en su PC. Sin embargo, esto podría ser peligroso, ya que ese registro confidencial de pulsaciones de teclas estaría disponible para el malware y podría almacenarse en copias de seguridad. En otras palabras, no es malicia, solo incompetencia..
Este parece ser un código de depuración en el controlador de audio Conexant, código que debería haber sido eliminado por Conexant antes de que el controlador se enviara a una PC. La parte del controlador que escucha las teclas de acceso directo de los medios registra automáticamente las teclas que ve pulsando. Fue descubierto por investigadores de Modzero..
Cómo comprobar si el Keylogger está activo
Parece que hay diferentes comportamientos en diferentes portátiles HP, dependiendo de la versión del controlador de audio que incluyen. En muchas computadoras portátiles, el keylogger escribe pulsaciones de teclas en el C: \ Users \ Public \ MicTray.log
expediente. Este archivo se borra en cada inicio, pero puede capturarse y almacenarse en las copias de seguridad del sistema.
Navegar a C: \ Users \ Public \
y ver si tiene un archivo MicTray.log. Haz doble clic para ver el contenido. Si ve información sobre sus pulsaciones, tiene el controlador del problema instalado.
Si ve datos en este archivo, querrá eliminar el archivo MicTray.log de cualquier copia de seguridad del sistema de la que pueda formar parte para asegurarse de que se borren los registros de las pulsaciones de teclas. También debe eliminar el archivo MicTray.log desde aquí para borrar el registro de sus pulsaciones de teclas.
Incluso si no ve el archivo MicTray.log, es posible que su computadora portátil HP haya estado grabando las pulsaciones de este archivo antes de descargar una actualización automática que lo detuvo. Debería examinar las copias de seguridad creadas en su PC y eliminar el archivo MicTray.log, si lo ve.
En nuestro HP Spectre x360, vimos el archivo MicTray.log pero tenía un tamaño de 0 KB. Sin embargo, incluso si no se imprimen datos en este archivo, cada una de las pulsaciones de tecla que escriba puede imprimirse a través de la API de Windows OutputDebugString. Cualquier aplicación que se ejecute en la cuenta de usuario actual puede ver esta información de depuración y capturar cada pulsación de tecla que escriba, sin hacer nada que pueda parecer sospechoso para los programas antivirus..
Para verificar si esto está sucediendo, descargue y ejecute la aplicación DebugView de Microsoft. Mira la aplicación DebugView y presiona algunas teclas en tu teclado.
Si el controlador de audio Conexant está capturando pulsaciones de teclas e imprimiéndolas como mensajes de depuración, verá muchas líneas de "objetivo de micrófono", cada una con un código de escena. La información en cada línea identifica la tecla que presionó, por lo que esta información podría decodificarse para capturar cada tecla que presione en el orden en que las presionó, si una aplicación escuchaba el registro de depuración en su PC.
Si no ve un archivo MicTray.log con pulsaciones en él y no tiene ninguna salida de "Objetivo de micrófono" visible en DebugView, felicitaciones. Su sistema no tiene el software del controlador de audio defectuoso instalado y en ejecución.
Cómo detener el keylogger
Si ve el archivo MicTray.log lleno de datos o puede ver la salida de depuración "Mic target" visible en DebugView, tiene el controlador de audio de registro de teclas peligroso instalado y debe desactivarlo o eliminarlo.
Las soluciones a este problema llegarán a través de Windows Update en las computadoras portátiles afectadas. Se agregó una solución para computadoras portátiles lanzada en 2016 a Windows Update el 11 de mayo, mientras que una solución para computadoras portátiles lanzada en 2015 está programada para el 12 de mayo. Diríjase a Configuración> Actualización y seguridad> Windows Update para asegurarse de tener las últimas actualizaciones.
Si la solución aún no se ha publicado o si no puede ejecutar Windows Update por algún motivo, puede eliminar el software que causa el problema. Deberá eliminar el archivo MicTray.exe o MicTray64.exe. Esto evitará que funcionen algunas teclas de función multimedia en su teclado, pero ese es un pequeño precio temporal para pagar por la seguridad.
Primero, abra el Administrador de tareas haciendo clic derecho en la barra de tareas y seleccionando "Administrador de tareas". Haga clic en "Más detalles", haga clic en la pestaña "Detalles", localice MicTray64.exe o MicTray.exe en la lista, haga clic con el botón derecho y seleccione "Finalizar tarea".
A continuación, ubique el archivo ejecutable de MicTray en su sistema y elimínelo. Los investigadores indican que este archivo se encuentra a menudo en C: \ Windows \ system32 \ MicTray.exe
o C: \ Windows \ system32 \ MicTray64.exe
. Sin embargo, en nuestro sistema, lo encontramos en C: \ Archivos de programa \ CONEXANT \ MicTray \ MicTray64.exe
.
Cuando Windows Update instale un controlador actualizado en el futuro, debería instalar un nuevo archivo ejecutable MicTray que solucionará el problema y volverá a habilitar las teclas de función de su teclado..
Crédito de la foto: Amanz Network / Flickr