HP и кейлоггер Conexant: как обнаружить и удалить

Important: проблема связана с локальным файлом журнала — драйвер не отправлял данные в интернет. Риск возникает при наличии физического доступа к компьютеру или доступа к резервным копиям.

О чём статья

Эта статья объясняет, как работал кейлоггер в аудиодрайвере Conexant на некоторых компьютерах HP, как проверить, затронут ли ваш ПК, и как безопасно устранить проблему. Также даются практические рекомендации по профилактике и план действий для пользователя и администратора.

Что произошло и почему это важно

Проблема скрывалась в аудиодрайвере Conexant, установленном на некоторых моделях HP (например, EliteBook, ProBook, ZBook и других моделях, поставляемых с этим драйвером). При разработке производитель добавил вспомогательный механизм для отладки — запись нажатий клавиш в текстовый файл. Этот механизм остался в релизе и оказался доступен на компьютерах пользователей.

Ключевые факты:

• Драйвер записывал нажатия клавиш в незашифрованный лог-файл.
• Файл обычно называется MicTray.log и находился в C:\Users\Public.
• Функция была предназначена для внутренней отладки и по ошибке попала в выпускаемую версию.
• Данные не передавались по сети драйвером, но могли быть доступны любому, кто получил доступ к файлам на диске или к резервным копиям.

Кто в зоне риска

• Владельцы ноутбуков HP, у которых установлен аудиодрайвер Conexant.
• Пользователи других ПК с установленным Conexant — проблема не ограничивается только устройствами HP.
• Любой, у кого есть физический доступ к машине или доступ к бекапам, где может храниться старый журнал.

Как проверить, затронут ли ваш компьютер

1. Откройте Диспетчер устройств: введите Диспетчер устройств (или Device Manager) в меню «Пуск» и нажмите Enter.
2. Разверните ветку «Аудиовходы и аудиовыходы» (Audio Inputs and Outputs).
3. Ищите элемент с именем Conexant Audio или похожие записи.
4. Проверьте наличие лог-файла: откройте Проводник и перейдите в C:\Users\Public. Ищите файл MicTray.log.

Если драйвера Conexant нет, вы в безопасности от этой конкретной проблемы. Если файл MicTray.log присутствует — продолжайте к разделу «Как удалить».

Как безопасно исправить проблему

HP выпустила обновления драйверов, которые удаляют функциональность логирования и удаляют лог-файл. Вот рекомендуемый порядок действий:

1. Сделайте резервную копию важных данных (не копируйте системные файлы и не архивируйте папку Public с имеющимся MicTray.log).
2. Обновите Windows через Windows Update: в меню «Пуск» введите Центр обновления Windows (Windows Update) и нажмите «Проверить обновления» (Check for updates).
3. Установите HP Support Assistant и запустите проверку обновлений аппаратного обеспечения — он будет автоматически предлагать новые версии драйверов.
4. При желании скачайте обновлённый аудиодрайвер вручную с сайта поддержки HP по модели вашего ноутбука.

Альтернативные варианты (если обновления недоступны):

• Переименовать или удалить исполняемый файл драйвера: C:\Windows\System32\MicTray.exe (32‑бит) или C:\Windows\System32\MicTray64.exe (64‑бит). Это может нарушить работу мультимедиа‑клавиш, поэтому предпочтительнее обновление драйвера.

После установки обновления проверьте, что файл MicTray.log удалён. Также проверьте историю резервных копий и удалите любые старые копии MicTray.log.

Note: переименование/удаление файла без установки патча — временная мера. Окончательное решение — установка официального патча, поскольку он удаляет функциональность корректно и безопасно.

Что делать, если вы обнаружили MicTray.log в резервных копиях

• Найдите все места, где хранится резервная копия (облако, внешние диски, сетевые накопители).
• Удалите файлы MicTray.log везде, где они есть.
• Если резервные копии шифруются и доступны только вам — риск снижен. Если резервные копии доступны третьим лицам — считайте возможным компрометирование паролей и учтите необходимость смены ключевых паролей.

Быстрый чек‑лист для пользователей (пошагово)

• Проверить наличие Conexant в Диспетчере устройств.
• Проверить C:\Users\Public на MicTray.log.
• Обновить Windows и/или установить HP Support Assistant.
• Скачивать и установить патч драйвера с сайта HP, если автоматическое обновление не предлагает его.
• Удалить MicTray.log из всех резервных копий.
• При подозрении на утечку — сменить пароли на критичных сервисах.

Контроль со стороны администратора ИТ‑отдела

Рекомендации для администраторов и техподдержки корпоративной сети:

1. Сканируйте инвентарь на наличие Conexant Audio. Централизованные инструменты управления и CMDB упростят поиск.
2. Выпустите политика удаления/обновления: примените патч на все пострадавшие машины через WSUS/SCCM или аналогичный механизм.
3. Проверьте и очистите общие резервные хранилища и точки восстановления.
4. Сообщите пользователям о возможном риске, предоставьте пошаговую инструкцию и сроки обновления.

Инцидент‑руководство для быстрого реагирования (runbook)

1. Идентификация: автоматический скрипт ищет процессы/пакеты Conexant и файлы MicTray.log.
2. contain: отключить от сети уязвимые машины при подозрении на физический доступ третьих лиц.
3. Обновление: применить официальные патчи и перезагрузить системы.
4. Очистка: удалить MicTray.log и проверить резервные копии.
5. Проверка: запустить антивирусное сканирование и проверку целостности системы.
6. Отчёт: уведомить руководство и пользователей, при необходимости сообщить регуляторам.

Тесты и критерии приёмки

Критерии приёмки (что должно быть подтверждено после исправления):

• В Диспетчере устройств драйвер Conexant обновлён до версии без логирования.
• Файл C:\Users\Public\MicTray.log больше не существует.
• Нету запущенных процессов MicTray.exe/MicTray64.exe, или они обновлены официальным пакетом.
• В резервных копиях отсутствуют старые копии MicTray.log.
• Произведён скан системой безопасности (антивирус/EDR) — отчет без обнаружений кейлоггеров.

Тесты:

• Поиск файлов с именем MicTray.log по всей сети и в облачном хранилище.
• Симуляция пользователя: нажать комбинации, проверить, не создаются ли новые логи.
• Проверка системы резервного копирования на наличие старых миграций.

Риск‑матрица и смягчения рисков

• Низкий риск: пользователи без Conexant драйвера или без физического доступа к устройству. Смягчение: обычные обновления и антивирус.
• Средний риск: пользователь с Conexant, файл обнаружен локально, но резервные копии защищены. Смягчение: удалить файл, обновить драйвер, сменить критичные пароли.
• Высокий риск: файл был в общедоступных бекапах или машина имела небезопасный физический доступ. Смягчение: комплексная смена паролей, уведомление пострадавших сервисов, аудит доступа.

Безопасность и профилактика: как защищаться от кейлоггеров в будущем

1. Держите систему и драйверы в актуальном состоянии. Автоматические обновления уменьшают риск.
2. Используйте надёжный антивирус и периодически запускайте сканирование Malwarebytes или аналогичного инструмента.
3. Шифруйте резервные копии и локальные диски (BitLocker и др.). Если диск зашифрован и ключи хранятся строго, риск доступа к файлам снижается.
4. Ограничьте физический доступ к рабочим станциям и храните устройства в защищённых помещениях.
5. Применяйте политики управления изменениями: тестируйте драйверы и ПО перед массовым развёртыванием.

Когда патч невозможен — альтернативы

Если вы не можете установить официальные обновления (например, устаревшее оборудование или кастомная среда):

• Блокируйте исполняемый файл MicTray.exe/MicTray64.exe правами доступа: настройте разрешения NTFS, чтобы никто, кроме SYSTEM, не мог запускать файл.
• Разверните EDR‑решение, которое блокирует/оповещает о подозрительной записи в публичные каталоги.

Частые вопросы (короткие ответы)

Q: Драйвер отправлял данные через интернет? A: Нет; в этом случае данные записывались локально. Основной риск — физический доступ или доступ к резервным копиям.

Q: Нужно ли менять все пароли? A: Если вы обнаружили, что MicTray.log содержал чувствительные данные и эти копии могли попасть в чужие руки, рекомендуется сменить ключевые пароли (почта, банки, 2FA‑учётные записи).

Q: Действует ли это на настольные ПК? A: Да — если на ПК установлен драйвер Conexant, риск аналогичен.

Подпись: Окно HP Support Assistant на экране ноутбука

Подпись: Пример содержимого лог‑файла кейлоггера (символические данные)

Сравнение: этот случай vs. более опасные инциденты

• Superfish (Lenovo) — вмешательство в HTTPS и глобальный MITM. Более серьёзный, потому что затрагивал сетевое шифрование.
• Conexant кейлоггер — локальная запись на диск. Менее масштабно, но критично для приватности при доступе к файлам.

Короткий глоссарий

• Кейлоггер: программа, фиксирующая нажатия клавиш.
• MicTray.log: файл журнала, в который записывались нажатия в проблемном драйвере.
• Conexant: производитель аудиодрайверов.
• HP Support Assistant: утилита HP для автоматического обновления драйверов.

Итог и рекомендации

Подводя итог: если у вас ноутбук HP или ПК с драйвером Conexant, проверьте наличие файла C:\Users\Public\MicTray.log и статус драйвера. Установите официальные обновления от HP и очистите резервные копии. После устранения угрозы — продолжайте практики безопасности: обновления, антивирус, шифрование резервных копий и ограничение физического доступа.

Если вы нашли и удалили кейлоггер после чтения этой статьи — напишите о своём опыте администратору или в службу поддержки HP. Ваши шаги могут помочь другим пользователям понять риски и быстро реагировать.

Image Credit: Sviat Studio via Shutterstock.com