近日，惠普筆記本電腦和平板電腦中的Conexant音頻驅(qū)動(dòng)程序存在鍵盤記錄行為被曝光，瑞星安全研究人員介紹，該驅(qū)動(dòng)可被不法分子利用竊取受害者通過鍵盤輸入的的賬戶信息、信用卡卡號(hào)、聊天記錄、密碼等個(gè)人信息。

　　瑞星安全專家介紹，該按鍵記錄器監(jiān)控用戶所有的按鍵記錄，其他用戶或第三方應(yīng)用均有可能復(fù)制按鍵記錄文件并查看用戶所有的按鍵記錄，提取到敏感信息，如：用戶名、密碼等。據(jù)瑞星網(wǎng)絡(luò)威脅態(tài)勢(shì)感知平臺(tái)顯示，自6月1日至7月7日在我國(guó)北京、廣東、上海等地共檢出521次。

　　國(guó)內(nèi)多家政府機(jī)構(gòu)內(nèi)部安全通報(bào)，提示各單位及時(shí)做好漏洞修復(fù)工作

　　圖：瑞星態(tài)勢(shì)感知平臺(tái)監(jiān)測(cè)惠普鍵盤記錄器感染地域分布

　　瑞星安全專家介紹，該驅(qū)動(dòng)程序的鍵盤記錄器并不是近期才出現(xiàn)的，最早可以追溯于2015年，至今共有近30款惠普筆記本均內(nèi)置了該程序。因此，廣大惠普用戶應(yīng)盡快升級(jí)電腦驅(qū)動(dòng)為最新版本。

　　詳細(xì)分析報(bào)告：

　　瑞星安全專家發(fā)現(xiàn)存在漏洞的程序是隨聲卡驅(qū)動(dòng)程序安裝的麥克風(fēng)托盤程序，圖標(biāo)如下：

　　圖：麥克風(fēng)托盤圖標(biāo)

　　此程序開機(jī)后常駐系統(tǒng)托盤，記錄鍵盤信息，以方便用戶使用快捷鍵開關(guān)麥克風(fēng)等功能。開發(fā)者編程時(shí)通過log文件和輸出調(diào)試信息的方式方便調(diào)試，但是發(fā)布時(shí)沒有取消此功能，就會(huì)對(duì)用戶造成威脅。

　　威脅分析

　　瑞星安全專家發(fā)現(xiàn)此程序有兩種方法記錄鍵盤信息。分別是“寫文件”和“輸出調(diào)試信息”。如果攻擊者使用惡意程序攻擊存在此漏洞的計(jì)算機(jī)，惡意程序可以通過讀取配置文件的方式，或者通過讀取OutputDebugStringW調(diào)試信息。獲取受害者的賬號(hào)、密碼等通過鍵盤輸入的信息，對(duì)受害者的信息安全造成威脅。

　　通過設(shè)置鍵盤消息鉤子獲取鍵盤信息。

　　圖：設(shè)置鍵盤鉤子

　　鍵盤按下后，觸發(fā)回調(diào)函數(shù)，在回調(diào)函數(shù)中通過寫文件或者輸出調(diào)試信息的方式記錄鍵盤信息。

　　圖：回調(diào)函數(shù)

　　寫文件或者輸出調(diào)試信息。

　　圖：判斷輸出方式

　　寫配置文件方式會(huì)把記錄的鍵盤信息寫到C:\\Users\Public\MicTray.log文件中。

　　圖：寫文件記錄按鍵

　　輸出調(diào)試信息方式會(huì)使用OutputDebugStringW輸出。

　　圖：輸出調(diào)試信息

　　檢測(cè)指標(biāo)

　　如果機(jī)器的聲卡驅(qū)動(dòng)是Conexant 公司，并且存在以下文件，則存在此問題。

　　程序：

　　C:\Windows\System32\MicTray64.exe

　　C:\Windows\System32\MicTray.exe

　　日志文件：C:\Users\Public\MicTray.log

　　受影響計(jì)算機(jī)型號(hào) (未在此列表中，聲卡驅(qū)動(dòng)是 Conexant 公司的，也有可能存在此問題)

　　HP EliteBook 820 G3 Notebook PC

　　HP EliteBook 828 G3 Notebook PC

　　HP EliteBook 840 G3 Notebook PC

　　HP EliteBook 848 G3 Notebook PC

　　HP EliteBook 850 G3 Notebook PC

　　HP ProBook 640 G2 Notebook PC

　　HP ProBook 650 G2 Notebook PC

　　HP ProBook 645 G2 Notebook PC

　　HP ProBook 655 G2 Notebook PC

　　HP ProBook 450 G3 Notebook PC

　　HP ProBook 430 G3 Notebook PC

　　HP ProBook 440 G3 Notebook PC

　　HP ProBook 446 G3 Notebook PC

　　HP ProBook 470 G3 Notebook PC

　　HP ProBook 455 G3 Notebook PC

　　HP EliteBook 725 G3 Notebook PC

　　HP EliteBook 745 G3 Notebook PC

　　HP EliteBook 755 G3 Notebook PC

　　HP EliteBook 1030 G1 Notebook PC

　　HP ZBook 15u G3 Mobile Workstation

　　HP Elite x2 1012 G1 Tablet

　　HP Elite x2 1012 G1 with Travel Keyboard

　　HP Elite x2 1012 G1 Advanced Keyboard

　　HP EliteBook Folio 1040 G3 Notebook PC

　　HP ZBook 17 G3 Mobile Workstation

　　HP ZBook 15 G3 Mobile Workstation

　　HP ZBook Studio G3 Mobile Workstation

　　HP EliteBook Folio G1 Notebook PC

　　受影響操作系統(tǒng)版本

　　Microsoft Windows 10 32

　　Microsoft Windows 10 64

　　Microsoft Windows 10 IOT Enterprise 32-Bit (x86)

　　Microsoft Windows 10 IOT Enterprise 64-Bit (x86)

　　Microsoft Windows 7 Enterprise 32 Edition

　　Microsoft Windows 7 Enterprise 64 Edition

　　Microsoft Windows 7 Home Basic 32 Edition

　　Microsoft Windows 7 Home Basic 64 Edition

　　Microsoft Windows 7 Home Premium 32 Edition

　　Microsoft Windows 7 Home Premium 64 Edition

　　Microsoft Windows 7 Professional 32 Edition

　　Microsoft Windows 7 Professional 64 Edition

　　Microsoft Windows 7 Starter 32 Edition

　　Microsoft Windows 7 Ultimate 32 Edition

　　Microsoft Windows 7 Ultimate 64 Edition

　　Microsoft Windows Embedded Standard 7 32

　　Microsoft Windows Embedded Standard 7E 32-Bit

　　應(yīng)對(duì)方法

　　1、刪除或改名以下文件

　　C:\Windows\System32\MicTray64.exe

　　C:\Windows\System32\MicTray.exe

　　2、訪問計(jì)算機(jī)廠商網(wǎng)頁，獲取更新后的本機(jī)型號(hào)對(duì)應(yīng)的聲卡驅(qū)動(dòng)。