Первый ноутбук Samsung R525 был приобретен в феврале этого года. При подготовке устройства к работе Мохамед Хассан Hassan провел полное сканирование системы с использованием неназванного платного антивируса. В ходе проверки в системном каталоге Windows были обнаружены два экземпляра достаточно известного кейлоггера StarLogger.
Приложение StarLogger от компании Willebois Consulting можно совершенно бесплатно загрузить с нескольких сайтов. Как объясняют разработчики, эта программа, способная регистрировать нажатия на клавиши компьютера, успешно работает даже на защищенных паролем системах. Оставаясь совершенно незаметным для пользователя, кейлоггер запускается автоматически при загрузке системы и запоминает все вводимые с клавиатуры данные, включая текст документов и почтовых сообщений, реквизиты доступа к разным сайтам и сервисам и многое другое. Неуловимый шпион также способен регулярно отправлять на заданный адрес электронной почты «отчеты» о проделанной работе, которые включают в себя собранные сведения и снимки с экрана инфицированного компьютера.
Хассан предположил, что кейлоггер был установлен сотрудниками компании Samsung и удалил программу с компьютера. Однако вскоре шпионское приложение было обнаружено еще на одном новом портативном ПК - Samsung R540, купленном в другом магазине месяц спустя. Убедившись в том, что его подозрения небеспочвенны, Хассан связался со службой технической поддержки Samsung и рассказал о своих находках. Изначально сотрудники компании отрицали свою причастность к установке кейлоггера, однако позже признались, что утилита использовалась «для мониторинга производительности системы и контроля над ее использованием».
К сожалению, производители уже не в первый раз прибегают к столь нечистоплотным методам сбора информации о клиентах. В 2005 году на музыкальных компакт-дисках, выпускаемых компанией Sony, была обнаружена программа-руткит, с помощью которого производитель собирался осуществлять мониторинг потребительской активности и ограничивать копирование лицензионного продукта. Как заявил разработчик Марк Рассинович (Mark Russinovich), первым обнаруживший приложение Sony BMG, у потребителей нет никаких гарантий, что другие компании не захотят последовать этому примеру. «Мистер Рассинович был абсолютно прав», - резюмирует Мохаммед Хассан.
Некоторое время корпорация Samsung воздерживалась от комментариев, однако обозревателям сайта CNET все же удалось получить некоторые заявления из официальных источников. Представитель Samsung заявил, что компания отнеслась к заявлению Мохамеда Хасана со всей ответственностью. В настоящее время на основании поступившей жалобы проводится внутреннее расследование, о результатах которого будет сообщено позже.
Тем же «счастливчикам», которые уже успели приобрести ноутбук, укомплектованный шпионским приложением, CNET рекомендует самостоятельно позаботиться о безопасности конфиденциальных данных.
B первую очередь специалисты советуют установить самые свежие обновления для антивирусного ПО. Вполне возможно, что при проведении режиме средства защиты смогут самостоятельно обнаружить и удалить кейлоггер. Если антивирус не справился с задачей, пользователь может попытаться избавиться от приложения вручную.
Напомним, что приложение StarLogger не может быть удалено с компьютера стандартными способами, поэтому для его ликвидации необходимо выполнить несколько действий, не совсем привычных для рядовых потребителей.
Первым делом владелец компьютера должен завершить процесс StarLogger (WinSLManager.exe) в соответствующей вкладке диспетчера задач. Возможно, операционная система не разрешит завершить процесс. В этом случае необходимо перезагрузить компьютер в безопасном режиме, установить местоположение файла WinSLManager.exe и удалить его вручную. Вторым шагом станет удаление информации о библиотеке StarLogger DLL из системного реестра. Пользователь должен запустить утилиту командной строки, перейти в папку, содержащую файл WinSLH.dll и набрать с клавиатуры команду «regsvr32 /u WinSLH.dll». Третьим этапом операции является удаление ключа с информацией о StarLogger (HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\winsl) из реестра Windows.
Напоследок журналисты с CNET советуют принять еще одну «профилактическую» меру, которая заключается в отправке письма в компанию Samsung с требованием о возврате средств, потраченных на покупку устройства.