惠普电脑暗藏键盘记录器 瑞星提醒用户升级驱动

　　近日，惠普笔记本电脑和平板电脑中的Conexant音频驱动程序存在键盘记录行为被曝光，瑞星安全研究人员介绍，该驱动可被不法分子利用窃取受害者通过键盘输入的的账户信息、信用卡卡号、聊天记录、密码等个人信息。

　　瑞星安全专家介绍，该按键记录器监控用户所有的按键记录，其他用户或第三方应用均有可能复制按键记录文件并查看用户所有的按键记录，提取到敏感信息，如：用户名、密码等。据瑞星网络威胁态势感知平台显示，自6月1日至7月7日在我国北京、广东、上海等地共检出521次。

　　国内多家政府机构内部安全通报，提示各单位及时做好漏洞修复工作

　　图：瑞星态势感知平台监测惠普键盘记录器感染地域分布

　　瑞星安全专家介绍，该驱动程序的键盘记录器并不是近期才出现的，最早可以追溯于2015年，至今共有近30款惠普笔记本均内置了该程序。因此，广大惠普用户应尽快升级电脑驱动为最新版本。

　　详细分析报告：

　　瑞星安全专家发现存在漏洞的程序是随声卡驱动程序安装的麦克风托盘程序，图标如下：

　　图：麦克风托盘图标

　　此程序开机后常驻系统托盘，记录键盘信息，以方便用户使用快捷键开关麦克风等功能。开发者编程时通过log文件和输出调试信息的方式方便调试，但是发布时没有取消此功能，就会对用户造成威胁。

　　威胁分析

　　瑞星安全专家发现此程序有两种方法记录键盘信息。分别是“写文件”和“输出调试信息”。如果攻击者使用恶意程序攻击存在此漏洞的计算机，恶意程序可以通过读取配置文件的方式，或者通过读取OutputDebugStringW调试信息。获取受害者的账号、密码等通过键盘输入的信息，对受害者的信息安全造成威胁。

　　通过设置键盘消息钩子获取键盘信息。

　　图：设置键盘钩子

　　键盘按下后，触发回调函数，在回调函数中通过写文件或者输出调试信息的方式记录键盘信息。

　　图：回调函数

　　写文件或者输出调试信息。

　　图：判断输出方式

　　写配置文件方式会把记录的键盘信息写到C:\\Users\Public\MicTray.log文件中。

　　图：写文件记录按键

　　输出调试信息方式会使用OutputDebugStringW输出。

　　图：输出调试信息

　　检测指标

　　如果机器的声卡驱动是Conexant 公司，并且存在以下文件，则存在此问题。

　　程序：

　　C:\Windows\System32\MicTray64.exe

　　C:\Windows\System32\MicTray.exe

　　日志文件：C:\Users\Public\MicTray.log

　　受影响计算机型号 (未在此列表中，声卡驱动是 Conexant 公司的，也有可能存在此问题)

　　HP EliteBook 820 G3 Notebook PC

　　HP EliteBook 828 G3 Notebook PC

　　HP EliteBook 840 G3 Notebook PC

　　HP EliteBook 848 G3 Notebook PC

　　HP EliteBook 850 G3 Notebook PC

　　HP ProBook 640 G2 Notebook PC

　　HP ProBook 650 G2 Notebook PC

　　HP ProBook 645 G2 Notebook PC

　　HP ProBook 655 G2 Notebook PC

　　HP ProBook 450 G3 Notebook PC

　　HP ProBook 430 G3 Notebook PC

　　HP ProBook 440 G3 Notebook PC

　　HP ProBook 446 G3 Notebook PC

　　HP ProBook 470 G3 Notebook PC

　　HP ProBook 455 G3 Notebook PC

　　HP EliteBook 725 G3 Notebook PC

　　HP EliteBook 745 G3 Notebook PC

　　HP EliteBook 755 G3 Notebook PC

　　HP EliteBook 1030 G1 Notebook PC

　　HP ZBook 15u G3 Mobile Workstation

　　HP Elite x2 1012 G1 Tablet

　　HP Elite x2 1012 G1 with Travel Keyboard

　　HP Elite x2 1012 G1 Advanced Keyboard

　　HP EliteBook Folio 1040 G3 Notebook PC

　　HP ZBook 17 G3 Mobile Workstation

　　HP ZBook 15 G3 Mobile Workstation

　　HP ZBook Studio G3 Mobile Workstation

　　HP EliteBook Folio G1 Notebook PC

　　受影响操作系统版本

　　Microsoft Windows 10 32

　　Microsoft Windows 10 64

　　Microsoft Windows 10 IOT Enterprise 32-Bit (x86)

　　Microsoft Windows 10 IOT Enterprise 64-Bit (x86)

　　Microsoft Windows 7 Enterprise 32 Edition

　　Microsoft Windows 7 Enterprise 64 Edition

　　Microsoft Windows 7 Home Basic 32 Edition

　　Microsoft Windows 7 Home Basic 64 Edition

　　Microsoft Windows 7 Home Premium 32 Edition

　　Microsoft Windows 7 Home Premium 64 Edition

　　Microsoft Windows 7 Professional 32 Edition

　　Microsoft Windows 7 Professional 64 Edition

　　Microsoft Windows 7 Starter 32 Edition

　　Microsoft Windows 7 Ultimate 32 Edition

　　Microsoft Windows 7 Ultimate 64 Edition

　　Microsoft Windows Embedded Standard 7 32

　　Microsoft Windows Embedded Standard 7E 32-Bit

　　应对方法

　　1、删除或改名以下文件

　　C:\Windows\System32\MicTray64.exe

　　C:\Windows\System32\MicTray.exe

　　2、访问计算机厂商网页，获取更新后的本机型号对应的声卡驱动。