Ns18 - mipko personal monitor
Приклади захисту від шпигунських програм.
Mipko Personal Monitor - шпигун з функціональним інтерфейсом для моніторингу активності користувачів комп'ютера. Keylogger відстежує натискання на клавіші, запущені програми і операції з файлами, робить знімки екрану і зберігає записи розмов в Skype®, а так же перехоплює повідомлення ICQ, ВКонтакте, Facebook®.
Виявлення, видалення і захист від оновленого шпигуна Mipko Personal Monitor.
Якщо раніше можна було зупинити процес і видалити шпигуна, то в новій версії неможливо завершити ці процеси, так як вони постійно запускаються знову. Значить, в системі є, хтось ще, що контролює роботу основних процесів стеження. Переходимо у вікно сервісів, натискаючи на кнопку в головному вікні "Служби системи" і бачимо нову інформацію, що з'явилася службу від досліджуваного шпигуна з ім'ям сервісу Local Synchronization Host і виконуваним файлом lsynchost.exe (додаємо ім'я файлу в "Базу загроз") шлях знаходження файлу служби такої ж, як і у шпигуна Mipko. Інших підозрілих процесів в системі виявлено не було, а ця служба в стані зупинена і в робочих процесах її немає, то є вона, по суті не працює. Тоді хто?
Усередині захищеної платформи програми Mask S.W.B. потрібно додатково переглядати монітори додатки, в яких ми будемо бачити всі процеси, служби, в тому числі і ті, які намагаються себе приховувати, створюючи сервіс, який не має додатки і вікон. Відкриваємо вікно процеси системи всередині платформи захисту і бачимо вже відомі виявлені нами раніше процеси від шпигуна Mipko виділені червоним кольором і найголовніше знайшлося відсутню ланку, процес служби шпигуна lsynchost.exe який був показаний, як зупинений і неробочий, працює навіть в подвійному екземплярі. Неробоча служба це обман від розробників програми стеження, такого ми ще не зустрічали, це зроблено не для простих користувачів, а саме для фахівців які повинні шукати і видаляти цю програму, щоб ввести їх в оману. А так як цей процес від нібито не робочої служби, неможливо виявити навіть спеціальними додатками, то програма шпигун стає практично не видаляється.
Перевіряли реакцію антивірусів на досліджуваного шпигуна, негативна, загрози не знайдено.
Тепер трохи про те, як працює цей захист, шпигун створює помилкову неробочу службу, яка не має своїх вікон і певних ознак для виявлення в моніторах прихованих процесів, запускаючись разом з системою, створює свого двійника для контролю друг-друга, якщо зупиняється один процес, інший його відразу запускає. Сам шпигун не описує в автозавантаження і в інших місцях, звідки зазвичай запускаються програми та проводяться пошук антишпигунські програмами і комп'ютерними фахівцями. Його запускає помилкова служба і постійно контролює його роботу в системі, як тільки він перестає працювати, помилковий сервіс його відразу запускає знову. А сам шпигун запускає інші процеси і в разі їх зупинки ніхто не реагує, але як тільки зупиняють його, служба запускає шпигуна, а шпигун всіх інших. Зупинити стеження не знайшовши помилкової служби, просто не можливо, а виявити ми її змогли лише через захищену середу програми Mask S.W.B.
Є два способи видалити з вашого комп'ютера оновлену шпигунську програму стеження Mipko Personal Monitor. це без перезавантаження і з перезавантаженням комп'ютера. Розповімо і покажемо більш легкий для розуміння простих користувачів, варіант другий з перезавантаженням системи.
Шпигуна запускає і контролює помилкова служба, а шпигун контролює після свого запуску її. Значить, нам потрібно не допустити запуск цього сервісу і тоді не запуститися сам шпигун. Відриваємо вікно служби системи і через контекстне меню видаляємо неправдиву службу шпигуна Mipko.
Після видалення служби перезапускаємо комп'ютер і повністю видаляємо вміст папки шпигуна Mipko в місці з самої папкою. Шпигун не зможе себе захищати і буде видалений.
Для маскування своїх дій від шпигуна Mipko все залишилося як і раніше, заходимо в платформу захисту Mask S.W.B і проводимо різні дії, виходимо, перевіряємо звіти шпигуна і бачимо, що як і раніше він не може отримати ніяких даних вироблених в захищеній середовищі.
Скачайте програму маскувальниками Mask S.W.B. безкоштовно перевірте - чи здійснюється за вами стеження за допомогою Mipko Personal Monitor.