Muchas computadoras portátiles HP lanzadas en 2015 y 2016 tienen un problema importante. El controlador de audio proporcionado por Conexant tiene habilitado el código de depuración y registra todas las pulsaciones de teclas en un archivo o las imprime en el registro de depuración del sistema, donde el malware podría husmear sin parecer demasiado sospechoso. A continuación, le indicamos cómo verificar si su PC está afectada.
¿Por qué mi computadora portátil HP registra las pulsaciones de teclas?
HP dice que tiene sin acceso a estos datos, y el keylogger en cuestión no parece ser malicioso. No hay evidencia de que el registrador de teclas haga algo con las pulsaciones de teclas que captura más allá de grabarlas en su PC. Sin embargo, podría ser peligroso, ya que este registro sensible de pulsaciones de teclas estaría disponible para malware y podría almacenarse en copias de seguridad. En otras palabras, no es malicia, solo incompetencia.
Esto parece ser un código de depuración en el controlador de audio Conexant, código que Conexant debería haber eliminado antes de que el controlador se enviara a las PC. La parte del controlador que escucha las teclas de acceso rápido multimedia registra automáticamente las teclas que presiona. Fue descubierto por investigadores de Modzero.
Cómo comprobar si el keylogger está activo
Parece haber un comportamiento diferente en diferentes laptops HP, dependiendo de la versión del controlador de audio que incluyan. En muchas computadoras portátiles, el registrador de teclas escribe las pulsaciones C:UsersPublicMicTray.log archivar. Este archivo se borra en cada inicio, pero se puede capturar y almacenar en copias de seguridad del sistema.
Ir hacia C:UsersPublic y vea si tiene un archivo MicTray.log. Haga doble clic en él para mostrar el contenido. Si ve información sobre las pulsaciones de teclas, el controlador problemático está instalado.
Si ve algún dato en este archivo, querrá eliminar el archivo MicTray.log de cualquier copia de seguridad del sistema del que pueda formar parte para asegurarse de que se borren los registros de pulsaciones de teclas. También debe eliminar el archivo MicTray.log de aquí para borrar el registro de pulsaciones de teclas.
Incluso si no ve el archivo MicTray.log, es posible que su computadora portátil HP ya haya registrado las pulsaciones de teclas en este archivo antes de descargar una actualización automática que lo apagó. Debe examinar todas las copias de seguridad creadas en su PC y eliminar el archivo MicTray.log, si lo ve.
En nuestro HP Spectre x360, vimos el archivo MicTray.log pero tenía un tamaño de 0 KB. Sin embargo, aunque no se imprimen datos en este archivo, cada pulsación de tecla que escriba se puede imprimir a través de la API de Windows OutputDebugString. Cualquier aplicación que se ejecute con la cuenta de usuario actual puede ver esta información de depuración y capturar cada pulsación de tecla que escriba, sin hacer nada que pueda parecer sospechoso a los programas antivirus.
Para comprobar si esto está sucediendo, descargue y ejecute Microsoft DebugView solicitud. Mire la aplicación DebugView y presione ciertas teclas en su teclado.
Si el controlador de audio Conexant captura las pulsaciones de teclas y las imprime como mensajes de depuración, verá muchas líneas «Mic target», cada una con un código de escaneo. La información en cada línea identifica qué tecla presionó, de modo que la información pueda decodificarse para capturar cada tecla que presione en el orden en que la presione, si una aplicación estaba escuchando el registro de depuración en su PC.
Si no ve un archivo MicTray.log que contenga pulsaciones de teclas y no tiene ninguna salida de «objetivo de micrófono» visible en DebugView, felicitaciones. Su sistema no tiene el software del controlador de audio con errores instalado y en ejecución.
Cómo detener el keylogger
Si ve el archivo MicTray.log lleno de datos o si puede ver la salida de depuración «Mic target» visible en DebugView, ha instalado el controlador de registro de teclas de audio peligroso y debe deshabilitarlo o eliminarlo.
Las soluciones para este problema llegarán a través de Windows Update en las computadoras portátiles afectadas. Un parche para computadora portátil lanzado en 2016 se agregó a Windows Update el 11 de mayo, mientras que se espera que un parche para computadora portátil lanzado en 2015 llegue el 12 de mayo. Vaya a Configuración> Actualización y seguridad> Actualización de Windows para asegurarse de tener las últimas actualizaciones.
Si la solución aún no se ha publicado, o si no puede ejecutar Windows Update por algún motivo, puede eliminar el software que está causando el problema. Deberá eliminar el archivo MicTray.exe o MicTray64.exe. Esto evitará que funcionen algunas teclas de función multimedia de su teclado, pero es un pequeño precio temporal a pagar por la seguridad.
Primero, abra el Administrador de tareas haciendo clic derecho en la barra de tareas y seleccionando «Administrador de tareas». Haga clic en «Más detalles», haga clic en la pestaña «Detalles», busque MicTray64.exe o MicTray.exe en la lista, haga clic derecho sobre él y seleccione «Finalizar tarea».
A continuación, ubique el archivo ejecutable MicTray en su sistema y elimínelo. Los investigadores indican que este archivo se encuentra a menudo en C:Windowssystem32MicTray.exe Dónde C:Windowssystem32MicTray64.exe . Sin embargo, en nuestro sistema lo encontramos en C:Program FilesCONEXANTMicTrayMicTray64.exe .
Cuando Windows Update instale un controlador actualizado en el futuro, debería instalar un nuevo ejecutable MicTray que solucionará el problema y volverá a habilitar las teclas de función en su teclado.
Autor de la foto: Red Amanz/ Flickr