5 Replies Latest reply on May 16, 2017 4:36 AM by derniwi

    Keylogger im Audio-Treiber von HP

    derniwi Master
      Hallo zusammen,

      für alle, die das noch nicht gelesen haben:
      [URL="https://www.heise.de
      ewsticker/meldung/Keylogger-auf-HP-Notebooks-Hersteller-gesteht-Fehler-ein-3712567.html"]Keylogger im Audio-Treiber von HP auf heise.de

      Es gibt für die 840 G3 einen neuen Treiber. Dessen Installation scheint auf den ersten Blick den Keylogger aber nicht zu entfernen!

      Ich schaue gerade, was da alles zu tun ist, um den Keylogger zu entfernen. Immerhin blockiert der Virenscanner mittlerweile die Anwendung und die Log-Datei wird auch gelöscht.

      Gruß
      Nils
        • 1. Re: Keylogger im Audio-Treiber von HP
          MarkusMichalski Specialist
          Moin,

          Es gibt für die 840 G3 einen neuen Treiber. Dessen Installation scheint auf den ersten Blick den Keylogger aber nicht zu entfernen!


          die neue Version deaktiviert lediglich die Erstellung der Logdatei über einen Registry Key.
          https://twitter.com/__ths__/status/863324677019770880
          • 2. Re: Keylogger im Audio-Treiber von HP
            derniwi Master
            Das will ich noch anschauen.
            In dem neuen Treiber ist die Anwendung "MicTray.exe" bzw. "MicTray64.exe" jedenfalls noch enthalten... aber die scheint ja auch für andere Funktionen notwendig zu sein.
            • 3. Re: Keylogger im Audio-Treiber von HP
              derniwi Master
              Hallo,

              ich habe jetzt die Installation des Conexant-Treibers etwas angepaßt, hierbei die aktuelle bei HP verfügbare Version verwendet (sp80323). Da hier aktuell nur Windows 7 verteilt wird, ist die Installation auch nur dafür paketiert.
              Im Unterverzeichnis Extern$ habe ich paralell zum drv-Verzeichnis einen Ordner "driver" angelegt.

              Das sp80323.exe habe ich mit 7-zip entpackt und die Dateien aus dem Verzeichnis "sp80323\Audio\X64" in das Verzeichnis "driver" kopiert. Somit liegt unter driver jetzt die Datei UIU64a.exe, über welche der Treiber installiert wird:
              !Treiber installieren
              Set('_RC','0')
              RunAsEx('.\Extern$\driver\UIU64a.exe','-s -l:%windir%\Logs\CNXTHDASup.log','','xxx','10','_RC',raUseSisAccount+WaitForExecution+raLogonWithProfile+UndoneContinueParentScript)/TW
              !
              !Prozess für Neustart-Aufforderung beenden
              Sleep('1')
              KillProcess('kuiu.exe',kpKillOnUninstall+kpKillChildrenToo+kpKillFirst+kpByFileName)
              !
              !MicTray deinstallieren, da Keylogger-Funktionialität enthalten
              Set('_RC2','0')
              RunAsEx('%ProgramFilesDir64%\Conexant\MicTray\SETUP64.EXE','-U -IMicTray','','x','10','_RC2',raUseSisAccount+WaitForExecution+raLogonWithProfile+UndoneContinueParentScript)/TW
              !
              !Prozess für Neustart-Aufforderung beenden
              Sleep('1')
              KillProcess('kuiu.exe',kpKillOnUninstall+kpKillChildrenToo+kpKillFirst+kpByFileName)
              !
              !Dateien löschen
              DeleteFileList
              %ProgramFilesDir64%\CONEXANT\Install\Audio\inst_mictray.ini
              %ProgramFilesDir64%\CONEXANT\Install\Audio\MicTray.cab
              %ProgramFilesDir64%\CONEXANT\Install\Audio\MicTray\MicTray.ini
              %ProgramFilesDir64%\CONEXANT\Install\Audio\MicTray\MicTray\MicTray.exe
              %ProgramFilesDir64%\CONEXANT\Install\Audio\MicTray\MicTray\MicTray.xml
              %ProgramFilesDir64%\CONEXANT\Install\Audio\MicTray\MicTray\MicTray64.exe
              %ProgramFilesDir64%\CONEXANT\Install\Audio\MicTray\MicTray\MicTray64.xml
              %ProgramFilesDir64%\CONEXANT\Install\Audio\MicTray\Setup.exe
              %ProgramFilesDir64%\CONEXANT\Install\Audio\MicTray\x64\Setup64.exe
              EndProc
              !
              If %_RC%='TIMEOUT'
              ExitProcEx(Failed,'Zeitüberschreitung!')
              If %_RC%='0'
              ExitProc(Done)
              If %_RC%='1024'
              ! System_Reset
              ExitProc(Done)
              !
              ExitProcEx(Failed,'Fehler bei der Installation: %_RC%')


              Um jetzt MicTray*.exe nicht zu installieren, müsste man die .inf-Dateien anfassen. Dadurch geht dann aber die Signatur verloren. Ich habe bisher leider keinen Punkt gefunden, wie man den Treiber sauber ohne MicTray installieren kann. Die Hot-Key-Funkion des Treibers braucht man meiner Meinung nach nicht, daher wird nach der Treiber-Installation MicTray einfach deinstalliert und die Installationsquelle aus dem Conexant-Verzeichnis gelöscht. Die Deinstallation läuft hier sauber durch.

              KillProcess('kuiu.exe',...) wird aufgerufen, um die Anfrage nach dem Neustart gleich zu beenden. Das klappt mit der Wartezeit von einer Sekunde nach einigen Tests auch relativ gut.

              Ob hier noch etwas passiert oder ob ein weiterer Treiber, der komplett ohne Keylogger kompiliert kommt, weiß ich nicht. Ich teste mal weiter. Vielleicht kann ja damit schon jemand etwas anfangen.

              Gruß
              Nils
              • 4. Re: Keylogger im Audio-Treiber von HP
                MarkusMichalski Specialist
                Moin,

                Ob hier noch etwas passiert oder ob ein weiterer Treiber, der komplett ohne Keylogger kompiliert kommt, weiß ich nicht. Ich teste mal weiter. Vielleicht kann ja damit schon jemand etwas anfangen.


                die neue Version (komplett ohne Keylogger) ist jetzt verfügbar und für sauber befunden:
                https://twitter.com/__ths__/status/864142890121007106
                • 5. Re: Keylogger im Audio-Treiber von HP
                  derniwi Master
                  Habe ich gesehen. Das ist die gleiche Version, die ich gestern geladen habe. Allerdings wird die log-Datei trotzdem angelegt, auch wenn sie leer bleibt. Aber die MicTray-Anwendung hat ja eine eigene Deinstallation... warum auch immer...

                  Ob man das Protokoll noch per Registry-Key aktivieren kann oder nicht, ist mir jetzt auch herzlich egal. Ich habe nicht herausgefunden, wozu man dieses kleine Ding überhaupt braucht. Unter Windows 7 kann man die Funktionstasten auch so nutzen (fn + f8, f9 oder f10). Einzig das Mikrofon kann man jetzt nicht mehr über die Tastatur ein- und ausschalten.