惠普电脑暗藏键盘记录器  瑞星提醒用户尽快升级驱动

近日，惠普笔记本电脑和平板电脑中的 Conexant 音频驱动程序被曝具有键盘记录功能。据 Rising Security 研究人员称，犯罪分子可利用该驱动程序窃取受害者通过键盘输入的账户信息、信用卡号、聊天记录、密码和其他个人信息。

据瑞星安全专家介绍，该键盘记录器会监控用户的所有按键行为，其他用户或第三方应用可能会复制键盘记录文件，查看用户所有按键行为，从而提取用户名、密码等敏感信息。据瑞星网络威胁态势感知平台显示，6月1日至7月7日，我国北京、广东、上海等地共计检测到521次。

国内多个政府部门内部安全通知提醒各单位及时修复漏洞

图：Rising 态势感知平台监测到的 HP 键盘记录器感染地理分布

据瑞星安全专家介绍，驱动键盘记录并非近期才出现的现象惠普电脑暗藏键盘记录器  瑞星提醒用户尽快升级驱动，最早可追溯至2015年。截至目前，已有近30款惠普笔记本内置该程序。因此，惠普用户应尽快将电脑驱动升级至最新版本。

HP官方公告地址：

----详细分析报告----

瑞星安全专家发现惠普电脑暗藏键盘记录器  瑞星提醒用户尽快升级驱动，存在漏洞的程序为随声卡驱动一起安装的麦克风托盘程序，其图标如下：

图：麦克风托盘图标

该程序开机后驻留在系统托盘中，并记录键盘信息，方便用户使用快捷键开启、关闭麦克风等功能。开发人员在编程时会使用日志文件并输出调试信息以方便调试，但如果该功能在发布时没有禁用，将对用户造成威胁。

威胁分析：

瑞星安全专家发现，该程序有两种记录键盘信息的方法惠普键盘，分别是“写入文件”和“输出调试信息”。如果攻击者利用恶意程序对存在该漏洞的计算机进行攻击，恶意程序可以通过读取配置文件或者读取OutputDebugStringW调试信息的方式获取受害者通过键盘输入的账号、密码等信息，对受害者的信息安全造成威胁。

通过设置键盘消息钩子来获取键盘信息。

图：设置键盘挂钩

当有按键按下时，会触发回调函数惠普键盘，通过写文件或者输出调试信息的方式记录键盘信息。

图：回调函数

写入文件或者输出调试信息。

图：确定输出模式

写入配置文件会将记录的键盘信息写入C:\\Users\Public\MicTray.log文件中。

图：写入文件记录按钮

OutputDebugStringW用于输出调试信息。

图：输出调试信息

检测指标：

如果机器的声卡驱动是Conexant的，并且存在如下文件，则存在这个问题。

程序：

执行程序

执行程序

日志文件：C:\Users\Public\MicTray.log

受影响的电脑型号：（不在此列表中，声卡驱动程序来自Conexant，也可能存在此问题）

HPEliteBook 820 G3 笔记本电脑

HPEliteBook 828 G3 笔记本电脑

HPEliteBook 840 G3 笔记本电脑

HPEliteBook 848 G3 笔记本电脑

HPEliteBook 850 G3 笔记本电脑

HP ProBook 640 G2 笔记本电脑

HP ProBook 650 G2 笔记本电脑

HP ProBook 645 G2 笔记本电脑

HP ProBook 655 G2 笔记本电脑

HP ProBook 450 G3 笔记本电脑

HP ProBook 430 G3 笔记本电脑

HP ProBook 440 G3 笔记本电脑

HP ProBook 446 G3 笔记本电脑

HP ProBook 470 G3 笔记本电脑

HP ProBook 455 G3 笔记本电脑

HPEliteBook 725 G3 笔记本电脑

HPEliteBook 745 G3 笔记本电脑

HPEliteBook 755 G3 笔记本电脑

HPEliteBook 1030 G1 笔记本电脑

HPZBook 15u G3 移动工作站

HP Elite x2 1012 G1 平板电脑

HPElite x2 1012 G1 带旅行键盘

HPElite x2 1012 G1 高级键盘

HPEliteBook Folio 1040 G3 笔记本电脑

HPZBook 17 G3 移动工作站

HPZBook 15 G3 移动工作站

HPZBook Studio G3 移动工作站

HPEliteBook Folio G1 笔记本电脑

受影响的操作系统版本：

微软 Windows 10 32

微软 Windows 10 64

Microsoft Windows 10 IoT 企业版 32 位（x86）

Microsoft Windows 10 IoT 企业版 64 位（x86）

Microsoft Windows 7 企业版 32 位

Microsoft Windows 7 企业版 64 位

Microsoft Windows 7 家庭普通版 32位

Microsoft Windows 7 家庭基础版 64 位

Microsoft Windows 7 家庭高级版 32 位

Microsoft Windows 7 家庭高级版 64 位

Microsoft Windows 7 专业版 32位

Microsoft Windows 7 专业版 64 位

Microsoft Windows 7 Starter 32 版

Microsoft Windows 7 旗舰版 32 位

Microsoft Windows 7 旗舰版 64 位

微软 Windows 嵌入式标准 7 32

Microsoft Windows Embedded Standard 7E 32 位

解决方案：

1.删​​除或重命名以下文件

执行程序

执行程序

2. 访问计算机制造商的网站以获取与您的型号相对应的更新的声卡驱动程序。