Судя по количеству выдач в поисковых запросах, программа Kickidler еще не набрала популярности на просторах российского интернета. Поэтому она вряд ли попала бы в поле нашего интереса. Но, оказалось, что ее разработчики учли присутствие на рынке программы COVERT, как средства защиты от слежения, и сделали блокировку входа в защищенную платформу маскировщика.
Мы вынуждены их разочаровать – COVERT обнаруживает средства мониторинга до входа в безопасную платформу. А обойти эту блокировку достаточно легко. То, что предлагает Kickidler для слежения просто выявляется.
И еще пару слов о позиционировании этой шпионской программы. На сайте разработчиков программа представлена как средство для повышения эффективности бизнеса, поскольку позволяет найти подчиненных, занимающихся личными делами в рабочее время. Когда такое читаешь, то хочется сказать, что владелец, который верит, что выявление таких подчиненных повысит эффективность его бизнеса, обречен на неудачу. Об этом можно было бы много написать, но не будем это делать в рамках статьи, посвященной обнаружению, удалению или маскировке от очередной шпионской программы.
Система учета рабочего времени Kickidler 1.69 | Функциональные возможности | Настройки программы
Обнаруживается присутствие Kickidler в окне Сетевого монитора программы COVERT. Процесс grabber.exe является одним из модулей этой шпионской программы.
Если добавить его в Базу угроз, процесс будет блокироваться маскировщиком и мониторинг прекратится. В новых версиях COVERT этот процесс уже внесен в Базу угроз.
Компьютер, с которого ведется мониторинг, не сможет восстановить связь с вашим компьютером, но попытки эти будут предприниматься постоянно.
Помимо упомянутого процесса, мониторы маскировщика показывают присутствие еще трех модулей, принадлежащих Kickidler. Это служба для передачи данных с именем ngs, процессы grabberAgent.exe и grabberSubAgent.exe.
Чтобы отключить блокировку входа в защищенную платформу маскировщика COVERT, необходимо открыть окно “Процессы системы”, где выделены красным три процесса — grabber.exe, grabberAgent.exe и grabberSubAgent.exe, и правой кнопкой мыши, через контекстное меню для grabberAgent.exe и grabberSubAgent.exe поочередно выбрать пункт “Добавить в базу завершения процессов”. Подтверждаем действия кнопкой сохранить. Процесс grabber.exe не трогаем и удаляем его имя из Базы угроз. Это необходимо для того, чтобы открыть доступ для удаленного мониторинга.
Если его оставить в базе, тогда при запуске маскировщика, удаленный компьютер потеряет связь с компьютером, за которым ведется наблюдение. Если в базе файла не будет, тогда при открытии COVERT и окна процессов системы, файлы, контролирующие блокировку маскировщика и занесённые в базу завершения процессов, автоматически будут остановлены. После этого можно заходить в платформу и на удаленном компьютере ничего не будет видно, кроме рабочего стола. При этом не будет потери связи с компьютером. Окно маскировщика на экране мониторинга программы Kickidler не отображается.
Обзор программы Kickidler. ТОТАЛЬНЫЙ КОНТРОЛЬ ваших сотрудников
После этих действий можно заходить в защищенную платформу COVERT. Программа Kickidler в это время продолжает работать. В ее интерфейсе будет виден ваш рабочий стол до того, как вы зашли в платформу маскировщика. Все ваши действия внутри защищенной платформы Kickidler увидеть не сможет.
Для того, чтобы полностью отключить мониторинг программой Kickidler, но оставить возможность его восстановления, необходимо предпринять следующие действия. Запустить функцию маскировщика “Службы системы”. Найти в списке службу с именем ngs, которая используется для сбора и передачи информации, и отключить ее через контекстное меню.
После отключения службы, пропадут из списков и вспомогательные процессы grabberAgent.exe и grabberSubAgent.exe, которые можно было видеть в мониторе “Процессы системы”. Эти процессы скрывают себя от диспетчера задач Windows, но COVERT видит их даже в своём обычном мониторе процессов системы, без использования функции поиска скрытых процессов.
Когда работа шпионской программы полностью остановлена, можно входить в платформу защиты COVERT без каких-либо препятствий со стороны Kickidler, и работать в безопасной среде.
Если есть необходимость восстановить мониторинг на вашем компьютере, следует в окне “Службы системы” нажать на кнопку “Всё службы”. В открывшемся списке будут желтым цветом выделены те службы, которые находятся в Базе угроз, но не активны в данный момент. Найдите службу ngs и запустите её через контекстное меню списка, выбрав пункт “Изменить задачи служб” далее “Пуск”.
После восстановления работы ngs, она запустит все дополнительные процессы, которые использовала ранее. Но доступ к вашему компьютеру получит только когда вы закроете программу маскировки COVERT.
Для полного удаления Kickidler с компьютера следует в окне “Службы системы” нажать правой кнопкой мыши на службу ngs и в контекстном меню списка выбрать пункт “Открыть папку службы”.
Возможность мониторинга за вашим компьютером будет полностью ликвидирована после этих действий.
COVERT позволяет обнаружить, остановить, восстановить или удалить онлайн наблюдение программой Kickidler.
Проверка онлайновым сервисом 19 антивирусными программами показала, что ни одна из них не считает этот код вредоносным. Если эта программа установлена на вашем компьютере, то антивирусы вам об этом не сообщат.
Специалисты нашей лаборатории дали не очень высокую оценку Kickidler по параметрам обнаружения и удаления — RLM: 7 / 2 / 2. Программа имеет неплохой функционал, но легко обнаруживается и удаляется.
Примеры нахождения и удаления шпионских программ
Источник: covert.ru
Как обнаружить Kickidler? : Операционные системы и программное обеспечение
Извините за некропостинг: у меня такой вопрос, есть такая прога Кикидлер или Кикайдлер
Как можно ее обнаружить на рабочем компе с десяткой без прав админа?
Прошел слух, что у нас на работе ее юзают.
Смотрел в процессах, ничего подозрительного не увидел.
Не то чтобы я играю в онлайн-игрухи на работе, но как-то неприятно, что кто-то может за тобой наблюдать
█ 22.10.2018 13:55
Федор, без прав админа вопрос начинается с определения того, какие права все же есть, что вы можете скачать и запустить.
Поставьте мониторинг списка соединений, например, штатной утилитой netstat в файл. Если не найдете — не факт, что ее нет, но можете и найти. Вариантов много. Я не в курсе, что эта утилита делает, но общий принцип ловли — провоцируйте ее на отчет и пытайтесь ловить. Сам я категорически против такого софта.
И конторы, их использующие, как правило, наверху отдают дерьмом.
█ 23.10.2018 06:29
нашел на просторах сети.
Наличие агента можно определить через диспетчер задач по процессам grabber.exe, grabberAgent.exe, grabberSubAgent.exe. Путь по умолчанию C:Program Files (x86)TeleLinkSoftHelper.
так же, можете скачать с оф сайта ту часть которая ставится на пк работника (вьювер) и посмотреть куда ставится и какие процессы. Есть демка
█ 23.10.2018 06:51
aldemko ➤ Наличие агента можно определить через диспетчер задач по процессам grabber.exe, grabberAgent.exe, grabberSubAgent.exe.
А будут ли отображаться эти процессы в диспетчере, если прав админа учетка не имеет?
█ 23.10.2018 07:02
Ну, тут 50 на 50.
но если есть доступ к просмотру каталогов program files. то думаю можно понять, есть шпион или нет.
В любом случае, верный способ только 1 — скачать клиент, установить и посмотреть.
Там уже будет ясно, может ли он скрывать процесс, либо папку и так далее.
Зы. В любом случае, на рабочем пк, это делать из под какого то загрузчика, с флешки или диска. Ибо если Федор будет искать под своим пользователем, это обязательно узнают «хозяева»
█ 23.10.2018 08:37
Еще нюанс в том, что даже от админа можно из списка процессов прятать требуемое. Если прав хватает, то AVZ, например, будет палить всякие кейлоггеры и т.п., чем страдает эта мерзость.
А тем, кто ставит, надо бы еще вопрос задать, каким образом защищаются чувствительные данные, например, пароли. Даже администратор не должен знать пароль пользователя. А тут кейлоггер.
█ 24.10.2018 19:34
Федор Говяшов
aldemko ➤ Ну, тут 50 на 50.
но если есть доступ к просмотру каталогов program files. то думаю можно понять, есть шпион или нет.
В любом случае, верный способ только 1 — скачать клиент, установить и посмотреть.
Там уже будет ясно, может ли он скрывать процесс, либо папку и так далее.
Зы. В любом случае, на рабочем пк, это делать из под какого то загрузчика, с флешки или диска. Ибо если Федор будет искать под своим пользователем, это обязательно узнают «хозяева»
Program files папку вижу, в ней ничего подозрительного не нашел. Я тут почитал, что его могут в ProgramData засунуть. Но к этой папке у меня походу нет доступа.
Источник: olegon.ru
KUMASERSOFT
Шпион Kickidler автоматически ведёт мониторинг за работой интересующих компьютеров, отслеживает нажатия клавиш, движение мыши, ведёт запись видео. Всегда можно отслеживать и своевременно реагировать на действия пользователей параллельных компьютеров. Шпион сохраняет всё видео рабочих столов пользователей, получает информацию с какими программами и сайтами работал человек и сколько времени.
Обнаружение, удаление и защита от слежения онлайн-мониторинга шпиона Kickidler.
В этой статье будет рассмотрена очередная программа для онлайн шпионажа. Она для нас интересна ещё и тем, что в отличие от других, её разработчики, понимая угрозу для неё со стороны маскировщика, добавили внутренний функционал, который блокирует вход в защищенную платформу антишпиона Mask S.W.B. Конечно это интересный ход, для попытки защиты репутации своего продукта, но это не поможет, так как маскировщик спокойно выявляет и блокирует, различные методы слежки, не заходя в платформу. А онлайн-мониторинг, который использует Kickidler, считается простым для обнаружения из всех методов слежения. И так начнём, по пунктам:
Обнаружение слежки Kickidler:
Достаточно открыть программу Mask S.W.B и посмотреть в сетевой монитор главного окна. Если в нём процесс grabber.exe имеющий активное соединение, то это значит, за вами ведётся онлайн наблюдение, с помощью программы Kickidler.
При добавлении этого процесса в базу угроз, онлайн слежка моментально прервётся, на момент работы маскировщика. Во всех новых версия этот процесс занесён в базу угроз по умолчанию.
Компьютер наблюдателя не сможет восстановить с вами связь. Но пытаться сделать это, будет постоянно.
Так же программа Kickidler использует в системе службу для передачи данных с именем NGS, процессы grabberAgent.exe и grabberSubAgent.exe при открытии мониторов Mask S.W.B они выявляются сразу. Ниже в статье это будет продемонстрировано.
Отключение блокировки Kickidler входа в платформу защиты Mask S.W.B:
Нужно открыть окно “Процессы системы” в нём сразу увидим красным цветом три процесса от Kickidler, grabber.exe, grabberAgent.exe и grabberSubAgent.exe, нажимаем правой кнопкой мыши на процесс grabberAgent.exe и в контекстном меню выбираем пункт “Добавить в базу завершения процессов”. Такие же действия производим и с процессом grabberSubAgent.exe, подтверждаем всё кнопкой сохранить. Процесс grabber.exe не трогаем, оставляем работать и удаляем его имя из базы угроз, чтобы открыть доступ к системе в момент работы маскировщика.
После произведённых действий можно спокойно заходить в платформу защиты Mask S.W.B, при этом шпион Kickidler останется в работе. На экране следящего за вами, будет виден ваш рабочий стол до захода в защищённую среду. И то, что вы будите делать внутри платформы маскировщика, Kickidler увидеть не сможет.
Отключение слежки Kickidler:
Чтобы полностью отключить слежку от Kickidler на своём компьютере, даже с выключенным маскировщиком, и с возможностью при необходимости её восстановления. Нужно открыть монитор “Службы системы” и в списке, можно будет увидеть, пункт, выделенный красным цветом с названием службы ngs, которую использует Kickidler для сбора и передачи информации. Отключив этот сервис через контекстное меню программы, наблюдение будет, остановлено полностью.
После отключения шпионской службы, пропадут и вспомогательные процессы grabberAgent.exe и grabberSubAgent.exe, используемые программой Kickidler для сбора информации. Которые можно было увидеть в мониторе “Процессы системы” до её отключения, и так же по ним идентифицировать за собой слежку. Эти процессы скрывают себя от стандартного диспетчера задач Windows, но маскировщик видит их даже в своём обычном мониторе процессов системы, не прибегая к специальным функциям по поиску скрытых процессов.
Когда слежка нейтрализована полностью, можно спокойно входить в платформу защиты программы Mask S.W.B без каких либо преград, и получать полноценную комплексную защиту.
Восстановления слежки Kickidler:
Для восстановления за собой слежки, если это понадобится, в окне “Службы системы” нажать кнопку “Всё службы” в списке желтым цветом, будут выделены службы, находящиеся в базе угроз, не активные в данный момент. Нужно найти службу ngs и запустить её через контекстное меню списка, выбрав пункт “Изменить задачи служб” далее “Пуск”.
После произведённых действий шпионская служба заработает и запустит все дополнительные процессы, которые использовала ранее, но доступ к вашему компьютеру, получит только когда вы закроете программу маскировки Mask S.W.B.
Удаление слежки Kickidler:
Для полного удаления слежки от онлайн мониторинга Kickidler с вашего компьютера. В окне “Службы системы” программы Mask S.W.B, нужно нажать правой кнопкой мыши на шпионскую службу ngs и в контекстном меню списка, выбрать пункт “Открыть папку службы”.
Слежка от программы онлайн мониторинга Kickidler будет удалена полностью.
Таким образом, можно обнаружить, остановить, восстановить или удалить онлайн слежку от программы Kickidler.
Скачайте программу антишпион — маскировщик Mask S.W.B и проверьте — осуществляется ли за вами слежка при помощи онлайн-мониторинга Kickidler
Источник: www.kumaser.com