Phát hiện keylogger trên laptop Samsung

Cập nhật ngày: 01/05/2011 - 08:15

* Cách dò tìm và loại bỏ:

Một nhà nghiên cứu bảo mật cho biết đã phát hiện ra phần mềm keylogger được cài đặt trên hai dòng máy tính xách tay mới của Samsung, có thể được sử dụng để giám sát từ xa tất cả các hoạt động trên máy tính.

Samsung R525 - một trong 2 mô hình bị cài đặt sẵn phần mềm keylogger

Mohamed Hassan, người sáng lập ra NetSec ConsultingNetSec, đã phát hiện ra phần mềm StarLogger có trong Samsung R525 và R540 khi tiến hành chạy phần mềm bảo mật trên hệ thống sau khi ông mua chúng vào tháng trước. Thông tin được Hassan công bố đăng trên trang Network World.

Keylogger là phần mềm mã độc nằm ẩn trong hệ thống để ghi nhận lại các thao tác bàn phím của người dùng. Bất cứ thao tác nhập dữ liệu nào cũng sẽ bị ghi nhận lại và chuyển đến chủ nhân của nó.

StarLogger khởi động cùng Windows 7 với chức năng ghi lại tất cả các tổ hợp phím thực hiện trên máy tính. Đây là một phần mềm khó có thể phát hiện, các hoạt động lưu lại sẽ được gửi đến một email được xác định từ trước với hình ảnh chụp giao diện màn hình kèm theo.

Đại diện của Samsung cho biết rằng công ty đang xem xét vấn đề này. Hãng cũng phát động một cuộc điều tra mang tính nội bộ về vấn đề này. Công ty hứa sẽ cung cấp thêm thông tin ngay khi vụ việc được sáng tỏ.

Hassan cho biết rằng ông đã báo cáo sự việc với bộ phận hỗ trợ của Samsung hôm 1-3, tuy nhiên nhân viên hỗ trợ đã từ chối việc phần mềm keylogging xuất hiện trên MTXT Samsung và sau đó giới thiệu ông với bộ phận hỗ trợ của Microsoft. Nhân viên này cho biết tất cả những gì mà Samsung thực hiện chỉ là việc sản xuất phần cứng mà thôi. Nhưng cuối cùng, một giám sát viên của Samsung đã nhận điện thoại và xác nhận rằng Samsung có cài đặt phần mềm loại này trên MTXT để theo dõi hiệu suất máy tính và chỉ là để tìm hiểu nó đang được sử dụng như thế nào.

Trên Network World, Hassan cho rằng Samsung muốn thu thập dữ liệu của người sử dụng mà không có sự đồng ý của chủ sở hữu máy tính xách tay đó. Ông cho biết sẽ chờ câu trả lời của Samsung trong thời gian một tuần nữa, nếu không việc kiện tụng sẽ khó tránh khỏi.

Sự việc trên làm gợi nhớ đến trường hợp của Sony vào năm 2005, sau khi khách hàng của Sony phát hiện Sony BMG Music Entertainment đã bán bản sao một ứng dụng bảo vệ đĩa compact có cài đặt phần mềm được gọi là rootkit ẩn bên trong các máy tính. Điều này buộc Sony đã buộc phải thu hồi 4,7 triệu đĩa.

Cách gỡ bỏ phần mềm keylogger trên máy tính Samsung

CNET đã đưa ra hướng dẫn cách gỡ bỏ phần mềm keylogger trên máy tính của Samsung như sau:

Tiến hành kiểm tra xem máy có keylogger hay không

Do StarLogger là dạng phần mềm mã độc keylogger nên không thể tìm chúng từ trình đơn Start, thay vào đó là theo dấu vết từ trong hệ thống Registry, nơi chứa thông tin những ứng dụng cùng khởi động với hệ thống Windows.

Để thực hiện, người dùng mở cửa sổ dòng lệnh (nút Start, gõ vào hộp thoại Run) và gõ vào Regedit Run và Enter. Sau đó vào thanh Menu trong Registry Editor, chọn Edit và chọn Find. Gõ nội dung tìm kiếm “winsl” (không có ngoặc kép), hoặc có thể truy cập trực tiếp theo đường dẫn trong Registry: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\winsl.

Lưu ý rằng các nhà nghiên cứu chỉ báo cáo StarLogger xuất hiện trên hai mô hình, Samsung R525 và R540. Kiểm tra với mẫu Samsung Series 9 mới thì không tìm thấy một keylogger cài đặt bên trong.

Người dùng cũng có thể tìm kiếm các file sau trên ổ cứng của mình, mặc dù keylogger được thiết kế ở chế độ ẩn. Mở Windows Explorer, sau đó nhấn phím Alt để tìm đến thanh Menu. Vào Tools và chọn Folder > View. Trong tab Advanced Settings người dùng sẽ nhận một tùy chọn Hidden Files and Folders, hãy đánh dấu vào đó.

Nếu máy có StarLogger, các tập tin của nó sẽ được đặt trong thư mục gốc Windows, trong một thư mục có nhãn "SL". Một danh sách các tập tin mà bạn có thể thấy được hiển thị dưới đây:

·     iv.ini

·     WinSL.dat

·     WinSL.exe

·     WinSLH.dll

·     ImgView.exe

·     SL-Test.txt

·     unins000.dat

·     unins000.exe

·     StarLogger.url

·     WinSLManager.exe

·     StarLogger.url

·     Uninstall StarLogger.lnk

·     StarLogger.lnk

·     StarLogger on the Web.lnk

·     WinSLManager.exe

·     WinSLH.dll

·     WinSL

Trong Task Manager bạn sẽ thấy tập tin WinSLManager.exe khởi chạy.

Cách tiến hành gỡ bỏ

Trước tiên hãy chắc chắn rằng chương trình chống virus của mình được cập nhật mới nhất. Có thể một phần mềm Antivirus sẽ phát hiện và loại bỏ nó nếu chạy ở chế độ quét đầy đủ (Full Scan). Tuy nhiên, có một phương pháp hướng dẫn khác mà người dùng có thể sử dụng.

- Bước đầu tiên, người dùng cần chặn quá trình chạy của StarLogger bằng cách vào tab Processes trong Task Manager. Tại đây click chuột phải vào WinSLManager.exe và nhấp vào End Process. Nếu không thực hiện được, người dùng phải khởi động lại vào chế độ Safe Mode, theo dõi vị trí chính xác của WinSLManager.exe và xoá nó ở đó.

- Bước thứ hai đôi chút phức tạp hơn và liên quan đến việc hủy đăng ký các tập tin StarLogger.DLL. Mở cửa sổ dòng lệnh và điều hướng đến thư mục chứa WinSLH.dll. Sau đó gõ “regsvr32 /u WinSLH.dll” mà không có dấu ngoặc kép, cửa sổ pop-up hiện ra cho người dùng biết việc tập tin đã được bỏ đăng ký thành công.

- Trở về Registry và xác định vị trí các khóa Registry liên quan đến StarLogger, như đã được thực hiện ở trên. Nhấp chuột phải vào nó và chọn Delete. Cuối cùng tự xóa các tập tin có trong thư mục SL như một cách thức thông thường.

Tuy nhiên, trên thực tế người dùng có thể mang đến bộ phận hỗ trợ của Samsung để yêu cầu hỗ trợ.

L.K (theo TTO)

 


Liên kết hữu ích