Muitos laptops HP lançados em 2015 e 2016 têm um grande problema. O driver de áudio fornecido pelo Conexant tem código de depuração habilitado, e ele registra todas as suas teclas digitadas em um arquivo ou as imprime no log de depuração do sistema, onde o malware pode espioná-los sem parecer muito suspeito. Veja como verificar se o seu PC foi afetado.
Índice
Por que meu laptop HP está registrando minhas teclas?
RELACIONADOS: Keyloggers explicados: O que você precisa saber
A HP afirma que não tem acesso a esses dados , e o keylogger em questão não parece ser malicioso. Não há evidências de que o keylogger realmente faça algo com os pressionamentos de tecla que captura além de salvá-los no seu PC. No entanto, isso pode ser perigoso, pois esse registro sensível de pressionamentos de tecla estaria disponível para malware e pode ser armazenado em backups. Em outras palavras, não é malícia – apenas incompetência.
Este parece ser um código de depuração no driver de áudio Conexant, código que deveria ter sido removido pelo Conexant antes do driver ser enviado aos PCs. A parte do driver que escuta as teclas de atalho de mídia registra automaticamente as teclas que vê que você pressiona. Foi descoberto por pesquisadores de Modzero .
Como verificar se o keylogger está ativo
Parece haver um comportamento diferente em diferentes laptops HP, dependendo da versão do driver de áudio que eles incluem. Em muitos laptops, o keylogger grava as teclas digitadas no C:\Users\Public\MicTray.logarquivo. Este arquivo é apagado a cada inicialização, mas pode ser capturado e armazenado em backups do sistema.
Acesse C:\Users\Public\e veja se você possui um arquivo MicTray.log. Clique duas vezes nele para ver o conteúdo. Se você vir informações sobre seus pressionamentos de tecla, o driver com problema está instalado.
Se você vir dados neste arquivo, você desejará excluir o arquivo MicTray.log de todos os backups do sistema do qual ele possa fazer parte, para garantir que os registros de suas teclas sejam apagados. Você também deve excluir o arquivo MicTray.log daqui para apagar o registro de suas teclas.
Mesmo que você não veja o arquivo MicTray.log, seu laptop HP pode ter gravado anteriormente as teclas digitadas nesse arquivo antes de fazer o download de uma atualização automática que o interrompeu. Você deve examinar todos os backups criados em seu PC e remover o arquivo MicTray.log, se o vir.
Em nosso HP Spectre x360, vimos o arquivo MicTray.log, mas tinha 0 KB de tamanho. No entanto, mesmo se nenhum dado estiver sendo impresso neste arquivo, cada pressionamento de tecla que você digitar pode ser impresso por meio da API OutputDebugString do Windows. Qualquer aplicativo em execução na conta de usuário atual pode visualizar essas informações de depuração e capturar cada tecla que você digita, sem fazer nada que possa parecer suspeito aos programas antivírus.
Para verificar se isso está acontecendo, baixe e execute o aplicativo DebugView da Microsoft . Olhe para o aplicativo DebugView e pressione algumas teclas do teclado.
Se o driver de áudio Conexant estiver capturando pressionamentos de tecla e imprimindo-os como mensagens de depuração, você verá muitas linhas de “alvo de microfone”, cada uma com um código de varredura. As informações em cada linha identificam a tecla pressionada, portanto, essas informações podem ser decodificadas para capturar cada tecla pressionada na ordem em que foram pressionadas, se um aplicativo estiver ouvindo o log de depuração em seu PC.
Se você não vir um arquivo MicTray.log com pressionamentos de tecla e não tiver nenhuma saída de “alvo de microfone” visível no DebugView, parabéns. Seu sistema não tem o software do driver de áudio com bugs instalado e funcionando.
Como parar o keylogger
Se você vir o arquivo MicTray.log preenchido com dados ou pode ver a saída de depuração “alvo do microfone” visível no DebugView, você tem o driver de áudio de keylogging perigoso instalado e deve desativá-lo ou removê-lo.
As correções para esse problema chegarão por meio do Windows Update nos laptops afetados. Uma correção para laptops lançada em 2016 foi adicionada ao Windows Update em 11 de maio, enquanto uma correção para laptops lançada em 2015 está prevista para chegar em 12 de maio. Vá para Configurações> Atualização e segurança> Windows Update para garantir que você tenha as atualizações mais recentes.
Se a correção ainda não foi lançada ou você não consegue executar o Windows Update por algum motivo, pode remover o software que está causando o problema. Você precisará excluir o arquivo MicTray.exe ou MicTray64.exe. Isso impedirá que algumas teclas de função de mídia do teclado funcionem, mas é um pequeno preço temporário a pagar pela segurança.
Primeiro, abra o Gerenciador de Tarefas clicando com o botão direito na barra de tarefas e selecionando “Gerenciador de Tarefas”. Clique em “Mais detalhes”, clique na guia “Detalhes”, localize MicTray64.exe ou MicTray.exe na lista, clique com o botão direito do mouse e selecione “Finalizar tarefa”.
Em seguida, localize o arquivo executável MicTray em seu sistema e exclua-o. Os pesquisadores indicam que esse arquivo costuma ser encontrado em C:\Windows\system32\MicTray.exeou C:\Windows\system32\MicTray64.exe. No entanto, em nosso sistema, nós o encontramos em C:\Program Files\CONEXANT\MicTray\MicTray64.exe.
Quando o Windows Update instalar um driver atualizado no futuro, ele deverá instalar um novo executável MicTray que irá corrigir o problema e reativar as teclas de função do teclado.
Crédito da foto: Amanz Network / Flickr
