La mia webcam è appena arrivata "di punto in bianco"

60

Ho un Microsoft LifeCam HD seduto sul mio monitor. Oggi, completamente fuori dal nulla, la sua luce si è accesa: stavo semplicemente navigando sul web (in Chrome) quando è successo. Dopo circa 5 minuti la webcam si è spenta.

Naturalmente, ho immediatamente sospettato la mia ex moglie (in caso di dubbio, la sospetto sempre), ma non è abbastanza esperta di computer.

Ho controllato l'elenco dei processi e non ho visto nulla di sospetto. Sto realizzando un paio di progetti open source e app gratuite (ad es. Greenshot, powermenu, supertray), ma li ho da anni. Autoruns non segnala nulla di sospetto all'avvio e nemmeno Windows Defender.

Comunque, cosa potrebbe essere? Cosa dovrei guardare dopo?

windows-7  virus  webcam  spyware  rootkit 
AngryHacker
fonte
3
quando succede di nuovo, disconnetti Internet e vedi se la videocamera si spegne.
7
11
La tua ex moglie si chiama " HappyHacker "?
Mateen Ulhaq,
14
@muntoo più come 'ReallyAngryHacker' .
AngryHacker,
15
Se il tuo computer inizia a dire cose del tipo "Temo di non poterlo fare, Dave", allora dovresti davvero preoccuparti.
Django Reinhardt,
5
Sei uno studente alla Harriton High School in Pennsylvania ?
JYelton,

Risposte:

39

Process Explorer di Microsoft sarebbe la mia prossima ipotesi: http://technet.microsoft.com/en-us/sysinternals/bb896653 . Dopo averlo caricato, fai clic su Visualizza -> Vista riquadro inferiore -> Maniglie. Ora, quando si fa clic su ciascuno dei processi nel riquadro superiore, si ottiene un rapporto su tutti i file e le chiavi di registro che ha aperto. Le chiavi sono il bit importante.

Può elencare molte informazioni sui processi attualmente in esecuzione, e anche se non so con certezza se dirà sicuramente quale processo ha la webcam aperta, potresti essere in grado di ottenere suggerimenti. L'ho appena provato per OneNote durante la registrazione di un video e per la mia Lifecam VX7000, questa chiave era aperta durante la registrazione di un video, che è quasi sicuramente la webcam (soprattutto visto che è scomparsa una volta che ho smesso di registrare):

HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{65E8773D-8F56-11D0-A3B9-00A0C9223196}\##?#USB#VID_045E&PID_0723&MI_00#8&27B22E96&0&0000#{65e8773d-8f56-11d0-a3b9-00a0c9223196}\#GLOBAL\Device Parameters

Non so come apparirà il tuo dispositivo, ma tieni d'occhio i processi che hanno HKLM \ SYSTEM \ ControlSet001 \ Control \ DeviceClasses \ chiavi aperte e cerco parole chiave come "USB # VID". Premere Ctrl + F e cercare la stringa "USB # VID" per trovare i processi con quella chiave aperta.

Se vuoi scoprire esattamente come viene chiamato il tuo dispositivo USB su Windows, apri Gestione dispositivi, trova la tua webcam lì, fai doppio clic su di essa, quindi fai clic sulla scheda Dettagli. Nella casella a discesa in quella pagina, vai a ID hardware o controlla alcuni degli altri dettagli in quella casella a discesa e vedi se riesci ad abbinarlo a un processo in Process Explorer.

modifica: ho dimenticato di menzionare, questa procedura funziona solo mentre il processo sta ancora utilizzando la webcam (ovvero la luce è ancora accesa)

camster342
fonte
10
Metodo più veloce: premi CTRL + F per cercare e poi inserisci USB # VID lì; o per le persone della CLI c'è handle.exe . :)
Tamara Wijsman,
1
ctrl + f durante l'esplorazione del processo. Si noti che la stringa ID fornitore della videocamera è disponibile in Gestione dispositivi: fare doppio clic sul dispositivo, guardare la scheda dettagli e quindi selezionare gli ID hardware dal menu a discesa
horatio
2
@tom ah eccellente, non ero sicuro che Ctrl + F avrebbe cercato anche tra tutti i tasti handle o semplicemente elaborasse i nomi. Non ho mai avuto bisogno di usarlo come ho sempre saputo esattamente quale processo sto cercando. Aggiungerò tali informazioni.
camster342,
2
Molto utile. Ho scoperto che era la mia macchina virtuale IE8 / XP (il file OVA di MS scaricato da Modern.ie) che utilizzava la fotocamera USB. VirtualBox consente il pass-through USB e mentre la VM era in esecuzione, stava accendendo la fotocamera. La maniglia da cercare in questo caso è 'vboxusbwebcam'.
Astravagrant,
La mia LifeCam è sempre accesa da quando ho sostenuto un esame finale con Examity, in cui un procuratore indiano mi ha chiesto di abilitare la mia videocamera nell'interfaccia del browser di Examity. processexplorer.exe> ​​ctl-f rivela solo 2 istanze di "#VID", entrambe associate a Skype.
Bennett Brown,
19

Potrebbe essere flash o un altro plug-in del browser.

Andrew Cooper
fonte
7
Flash in genere genera una finestra di messaggio che chiede se è ok da usare?
AngryHacker,
3
Lo spero, ma potrebbero esserci delle soluzioni.
Andrew Cooper,
11
Non se accetti una volta di consentire a Flash di utilizzare sempre la fotocamera?
Snark,
2
Credo che Flash lo chieda ogni volta, e non esiste un'opzione "fidati sempre di questo sito". Sono uno sviluppatore flash e Adobe è molto paranoico riguardo agli exploit di sicurezza, quindi non riesco a vederlo come un'autorizzazione salvata o semplicemente accessibile senza autorizzazione.
2
Potrebbe essere anche Silverlight e Silverlight ha una selezione "Fidati sempre di questo sito".
Barry,
11

Le fotocamere (e altri dispositivi di registrazione) di tua proprietà non devono MAI accendersi senza il tuo consenso. Se non sei a conoscenza di un'applicazione che hai configurato per farlo automaticamente di volta in volta, allora è il momento di iniziare a capire se hai SpyWare sul tuo computer che potrebbe attivarlo.

Qui ci sono due eccellenti strumenti gratuiti di cui mi fido (non c'è molto di cui mi fido quando si tratta di software di sicurezza in particolare) e da usare per rimuovere SpyWare che dovrebbe esserti utile:

  MalwareBytes
  http://www.malwarebytes.org/

  SpyBot - Cerca e distruggi
  http://security.kolla.de/

Se avessi riscontrato questo problema, la scansione di SpyWare sarebbe una priorità molto alta.

Randolf Richardson
fonte
2
"non dovrebbe mai accendersi senza il tuo consenso" ... è molto diverso da "ciò che realmente accade". ES: la maggior parte delle lingue ti consente di aprire liberamente la scheda audio e iniziare a registrare senza avvisare l'utente. Quindi, a meno che il tuo sistema operativo non abbia in qualche modo le autorizzazioni su come il codice accede all'hardware ... spetta al programmatore avvisare l'utente o meno.
Trevor Boyd Smith,
2
Le applicazioni Java per impostazione predefinita consentono di registrare l'audio senza avvisare l'utente in alcun modo. "L'autorizzazione a registrare l'audio è controllata separatamente. Questa autorizzazione dovrebbe essere concessa con cura, per aiutare a prevenire rischi per la sicurezza come intercettazioni non autorizzate. Per impostazione predefinita, ... Un'applicazione in esecuzione senza gestore della sicurezza può riprodurre e registrare l'audio"
Trevor Boyd Smith,
@TrevorBoydSmith: +1 per ciascuno di quei bei contributi. Il mio uso della parola "dovrebbe" era intenzionale. Penso che più persone dovrebbero fare pressione sui venditori affinché rispettino il consenso per le funzioni di registrazione audio e video.
Randolf Richardson,
3

Per aggiungere alla risposta di @Andrew Cooper:

Circa un anno fa c'era un grande clamore nella comunità della sicurezza su un ricercatore che utilizzava quello che ora è noto come clickjacking per far credere ad Adobe Flash che l'utente acconsentisse erroneamente di consentire l'accesso alla webcam.

La vulnerabilità specifica è stata risolta, ma potrebbe essercene sempre di più. L'unico modo attualmente per prevenire il clickjacking è usare Firefox con NoScript . Chrome / IE8 hanno anche una rudimentale prevenzione del clickjacking , ma solo per i siti che lo supportano (il che non aiuta a prevenire il flash-clickjacking).

BlueRaja - Danny Pflughoeft
fonte
... wow, è successo quasi tre anni fa. Ragazzo, sto invecchiando.
BlueRaja - Danny Pflughoeft,
2

Potresti non vedere qualcosa di strano nell'elenco dei processi poiché il "malware" potrebbe essersi iniettato in un'altra applicazione. Molto probabilmente un processo comune su tutti i sistemi Windows (explorer.exe come esempio).

Scollegare Internet, vedere se si spegne. Ogni volta che succede di nuovo, inizia a lavorare per trovare il processo, utilizzando la tua webcam, come suggerito da un altro poster, con Process Explorer.

Dopo aver determinato quale processo è necessario esaminare quali connessioni ha quel processo e a quali porte. Questo è anche visibile in Process Explorer.

Nota gli IP, pubblica l'elenco su un forum (al momento non riesco a pensarne uno specifico) che si occupa di questo genere di cose se non riesci a determinarlo da solo.

Salva le informazioni dall'alto.

Cancella il tuo sistema e installa da fonti attendibili.

artifex
fonte
1

Se si dispone del servizio WIA (Windows Image Acquisition) che tenta di essere eseguito nel registro ed è disabilitato, registrerà un errore (in genere, si avvia automaticamente con Windows).

Ho avuto questo, e nessuna fotocamera collegata, nessuno scanner o fotocamera digitale collegata, e forse potrebbe essere qualcosa invocato da Flash.

Facebooksgiftofnarcissism
fonte
-4

Copri la tua fotocamera. Fai clic con il tasto destro sulla finestra di un lettore YouTube. Fai clic su Impostazioni . Vedi il bulbo oculare in un'immagine TV? Fare clic e negare l'accesso alla videocamera.

christiangrowing
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.