Rimuovere keylogger dai portatili Samsung R525 e R540


Un ricercatore di sicurezza ha fatto una strana scoperta riguardante il software istallato su due computer Samsung con numeri di modello R525 e R540.

L’esperto di sicurezza Mohamed Hassan, fondatore di NetSec Consulting, avrebbe trovato il software StarLogger che si avvia quando Windows è acceso ed è in grado di registrare tutti i movimenti del computer e può anche essere impostato per inviare in modo nascosto un e-mail ad un indirizzo predefinito, le informazioni comprese le immagini della schermata del computer.

All’inizio i responsabili Samsung hanno negato tutto dicendo che essi si occupano solo dell’hardware poi, però, un responsabile ha ammesso che essi hanno aggiunto al sistema operativo Windows quel particolare software per monitorare le prestazioni della macchina e scoprire come viene usato.

Cnet fornisce poi anche delle ottime informazioni su come è possibile trovare e poi rimuovere Startlogger dal computer, nel caso si possedesse uno di quei portatili Samsung.

In ogni caso per trovarlo bisogna andare su Regedit poi Run, in seguito sulla barra dei menu si può selezionare modifica e poi trova. Si può cercare Winsl e se è istallato dovrebbe apparire una chiave di registro di questo tipo:

KEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run Winsl

Si può cercare anche sul disco rigido, dopo aver selezionato l’opzione mostra le cartelle ed i file nascosti, nella directory principale di Windows, dovrebbe apparire una sottodirectory chiamata “SL” con dentro parecchi file. Si può anche controllare nel Task Manager la presenza di WinSLManager.exe.

Una volta, quindi accertato che il software è presente nel computer bisogna rimuoverlo. Se l’ antivirus è aggiornato è possibile che lo rilevi e lo elimini, ma è possibile anche toglierlo manualmente.

Prima di tutto bisogna fermare il processo dal task manager e cliccare su termina processo, se non ci si riesce bisogna andare in modalità provvisoria, trovare WinSLManager.exe ed eliminarlo.

Poi bisogna annullare la registrazione della StarLogger DLL. , bisogna aprire il prompt dei comandi e passare alla cartella WinSLH.dll poi digitare regsvr32 / u WinSLH.dl, dopo di che dovrebbe apparire un avviso che dice che il file è stato correttamente de-registrato.

In seguito bisogna ridigitare regedit e rifare tutto il procedimento iniziale e tornare alla chiave di registro

KEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run Winsl e cancellarla.

A questo punto il laborioso procedimento è quasi finito, bisogna riandare nella sottodirectory trovata in Windows “SL” e cancellare tutti i file presenti e la sotto-directory stessa.

Certamente è un lavoro lungo e laborioso che chiunque decisa di comprare un portatile non pensa proprio di dover effettuare.

Un caso che se confermato evidenzia quanto sia tutelata la nostra privacy e la nostra sicurezza!


Commenti: Vedi tutto

Lascia una risposta