正文

惠普电脑再爆暗藏键盘记录器

admin
admin V管理员 /0 评论 /8 阅读
1211
此篇文章发布距今已超过1250天,您需要注意文章的内容或图片是否可用!

       惠普日前发布了数百种型号笔记本电脑的驱动程序更新,以删除可能被攻击者滥用的键盘记录程序组件的调试代码。

       键盘记录代码嵌入在SynTP.sys文件中,该文件是惠普笔记本电脑附带的Synaptics触摸板驱动程序的一个模块。

       安全研究人员ZwClose表示:“日志记录在默认情况是禁用的,但可以通过设置注册表值来启用。”

       该注册表项是:

       HKLM \ Software \ Synaptics \%ProductName%HKLM \ Software \ Synaptics \%ProductName%\ Default

       恶意软件开发者可以使用此注册表项来启用键盘记录功能,并使用本地内核签名的工具来监视用户。更可怕的是,这些工具不会被安全产品检测到。

       他们唯一要注意的就是在更改注册表项时避免UAC提示。目前,至少有几十种方法可被用来绕过UAC提示。

       ZwClose说:“键盘记录器将扫描码保存到WPP轨迹中。WPP软件跟踪(WPP Software Tracing)是应用程序开发人员经常使用的技术,用于在开发过程中调试代码。

       惠普开发人员承认,键盘记录代码是调试设置中的剩余部分,并发布了一个用于清除痕迹的更新。

       值得注意的是,这不并是惠普工程师第一次忘了清除驱动程序内部的调试代码。同样的事情出现在今年5月份时,他们在音频驱动程序中留下了类似的键盘记录代码。

       惠普公布了受影响笔记本电脑的清单。该列表列出了475款产品型号,包括303款消费类笔记本和172款商务笔记本、移动瘦客户端和移动工作站。受影响的型号包括HP的25 *、mt **、15 *、OMEN、ENVY、Pavilion、Stream、ZBook、EliteBook和ProBook系列,以及几款Compaq。