É o que afirmam especialistas da empresa suíça Modzero AG, após identificarem a presença de um arquivo que armazenava tudo o que era digitado no teclado de notebooks da fabricante HP. O arquivo pode ser localizado no diretório C:UsersPublicMicTray.log e tem relação com a versão pré-instalada do driver de áudio Conexant HD Audio Driver Package versão 1.0.0.46 e anteriores que vem instalado em diversos modelos de notebooks da Hewlett-Packard, mas não está descartado que outros fabricantes de notebooks que façam uso de drivers de áudio da Conexant também não estejam com o mesmo diagnóstico.
No boletim disponível neste link, os pesquisadores informaram:
Na verdade, o propósito do software é reconhecer se uma tecla especial foi pressionada ou liberada. Em vez disso, no entanto, o desenvolvedor introduziu uma série de recursos de diagnóstico e depuração para garantir que todas as batidas de teclas sejam transmitidas por meio de uma interface de depuração ou gravadas em um arquivo de log em um diretório público no disco rígido.
Esse tipo de depuração transforma o driver de áudio em um keylogging spyware. Com base na meta-informação dos arquivos, este keylogger já existiu em computadores HP desde pelo menos o Natal de 2015.
Para saber se o seu equipamento possui este diagnóstico, você deve procurar pelos arquivos executáveis em:
C:WindowsSystem32MicTray64.exe
C:WindowsSystem32MicTray.exe
Além do arquivo de log que registra as informações enquanto o sistema permanecer ligado:
C:UsersPublicMicTray.log
Em seu boletim, a Modzero AG ainda informa:
Não há evidência de que este keylogger tenha sido implementado intencionalmente. Obviamente, é uma negligência dos desenvolvedores – o que não torna o software menos prejudicial. Se o desenvolvedor simplesmente desativar todo o log, usando debug-logs apenas no ambiente de desenvolvimento, não haveria problemas com a confidencialidade dos dados de qualquer usuário.
Nem a HP Inc. nem a Conexant Systems Inc. responderam a quaisquer solicitações de contato. Somente a HP Enterprise (HPE) recusou qualquer responsabilidade e procurou contatos na HP Inc. por meio de canais internos.
A seguir a lista de notebooks e sistemas operacionais afetados:
Notebooks
- HP EliteBook 820 G3 Notebook PC
- HP EliteBook 828 G3 Notebook PC
- HP EliteBook 840 G3 Notebook PC
- HP EliteBook 848 G3 Notebook PC
- HP EliteBook 850 G3 Notebook PC
- HP ProBook 640 G2 Notebook PC
- HP ProBook 650 G2 Notebook PC
- HP ProBook 645 G2 Notebook PC
- HP ProBook 655 G2 Notebook PC
- HP ProBook 450 G3 Notebook PC
- HP ProBook 430 G3 Notebook PC
- HP ProBook 440 G3 Notebook PC
- HP ProBook 446 G3 Notebook PC
- HP ProBook 470 G3 Notebook PC
- HP ProBook 455 G3 Notebook PC
- HP EliteBook 725 G3 Notebook PC
- HP EliteBook 745 G3 Notebook PC
- HP EliteBook 755 G3 Notebook PC
- HP EliteBook 1030 G1 Notebook PC
- HP ZBook 15u G3 Mobile Workstation
- HP Elite x2 1012 G1 Tablet
- HP Elite x2 1012 G1 with Travel Keyboard
- HP Elite x2 1012 G1 Advanced Keyboard
- HP EliteBook Folio 1040 G3 Notebook PC
- HP ZBook 17 G3 Mobile Workstation
- HP ZBook 15 G3 Mobile Workstation
- HP ZBook Studio G3 Mobile Workstation
- HP EliteBook Folio G1 Notebook PC
Sistemas operacionais:
- Microsoft Windows 10 32
- Microsoft Windows 10 64
- Microsoft Windows 10 IOT Enterprise 32-Bit (x86)
- Microsoft Windows 10 IOT Enterprise 64-Bit (x86)
- Microsoft Windows 7 Enterprise 32 Edition
- Microsoft Windows 7 Enterprise 64 Edition
- Microsoft Windows 7 Home Basic 32 Edition
- Microsoft Windows 7 Home Basic 64 Edition
- Microsoft Windows 7 Home Premium 32 Edition
- Microsoft Windows 7 Home Premium 64 Edition
- Microsoft Windows 7 Professional 32 Edition
- Microsoft Windows 7 Professional 64 Edition
- Microsoft Windows 7 Starter 32 Edition
- Microsoft Windows 7 Ultimate 32 Edition
- Microsoft Windows 7 Ultimate 64 Edition
- Microsoft Windows Embedded Standard 7 32
- Microsoft Windows Embedded Standard 7E 32-Bit
Como resolver o problema?
De acordo com Modzero AG, para verificar e remover o keylogger HP MicTray64.exe, você deve seguir estas etapas:
- Abra o Gerenciador de Tarefas e verifique se há um processo em execução chamado MicTray64.exe. Se esse processo existir, encerre-o;
- Acesse o diretório C:WindowsSystem32MicTray64.exe e transfira o arquivo executável para a Área de Trabalho.
- Verifique a presença do arquivo localizado em C:UsersPublicMicTray.log. Se ele exixtir, mova o arquivo para a Área de Trabalho também.
- Agora que o keylogger foi removido e você isolou os arquivos de log, vamos dar uma olhada no que foi registrado.
- Abra o arquivo MicTray.log na área de trabalho e examine o conteúdo. Se você notar que os nomes de login, senhas, informações bancárias ou qualquer outra informação de login confidencial foi registrado, você deve imediatamente alterar suas senhas nas contas associadas.
Depois de seguir as etapas, o keylogger não estará mais ativo e não será iniciado na reinicialização.
Fontes consultadas: Infoworld / PC Mag / Modzero AG
Imagens: Modzero AG / Pixabay
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
