Бэкдор в Win 10 Tweaker

[Irval]

В погоне за конфиденциальностью, большинство пользователей и не подозревают, как добровольно делятся своими данными с разработчиками разных программ, которые якобы защищают приватность пользователя.
Речь пойдет о программе "Win 10 Tweaker" в которой пользователь "Sanctuarys" из ресурса "Хабр" нашёл бэкдор, который был замечен ещё осенью 2020 года.

Win 10 Tweaker — известная программа, которую используют, чтобы отключить сбор данных в Windows 10. "Sanctuarys" установил саму программу с официального сайта. Выдал все запрашиваемые разрешения и затем начал прослушивать трафик приложения.
Win 10 Tweaker скачал с

Пожалуйста, авторизуйтесь для просмотра ссылки.

ресурса исполняемый код написанный на C#, который записывает в реестр указания удалить 50 первых установленных программ пользователя. При первом входе или выходе из учётной записи, эти программы запустили свои деинсталляторы.
Осенью, на том же

Пожалуйста, авторизуйтесь для просмотра ссылки.

был найден C#-код, который устанавливает на учётную запись пароль "Rock5taR". То есть, если у вас установлен Win 10 Tweaker, разработчик может исполнять любой код на вашем ПК с этого

Пожалуйста, авторизуйтесь для просмотра ссылки.

.

Скажу проще, ваш ПК в чужих руках из-за одной установленной программы. Код исполняется запрашивается и исполняется через Win 10 Tweaker.

Что делать? Удалить Win 10 Tweaker и очистить раздел "Автозагрузка" от подозрительных программ.
И пусть лучше Microsoft собирает ваши данные, чем кто-то делает на вашем ПК непонятно что.

На данный момент

Пожалуйста, авторизуйтесь для просмотра ссылки.

программы заблокирован, но шанс наличия дополнительного зеркала для бэкдора все равно остается. Настоятельно рекомендую удалить Win10 Tweaker с вашего компьютера.

Спасибо за предоставленный материал:

Пожалуйста, авторизуйтесь для просмотра ссылки.

 

[XBalanced]

было уже

 

[fire_]

Сколько же он логинов с паролями нафармил

 

[vyvpsen]

Всегда всё ручками делал :)

 

[Irval]

Сколько же он логинов с паролями нафармил

По статистике с сайта программу скачало около 1.5 млн человек. Сложно судить, но числа огромные

 

[-w1ck]

да прикольно тему зачем пересоздавать

 

[Irval]

да прикольно тему зачем пересоздавать

Моя тема не только констатирует факт, но и имеет пояснения к действиям бэкдора

 

[fire_]

По статистике с сайта программу скачало около 1.5 млн человек. Сложно судить, но числа огромные

стремно качать что либо сейчас, в каждую программу могут напихать кучу «бонусов»

 

[uwuKingAche]

В погоне за конфиденциальностью, большинство пользователей и не подозревают, как добровольно делятся своими данными с разработчиками разных программ, которые якобы защищают приватность пользователя.
Речь пойдет о программе "Win 10 Tweaker" в которой пользователь "Sanctuarys" из ресурса "Хабр" нашёл бэкдор, который был замечен ещё осенью 2020 года.

Win 10 Tweaker — известная программа, которую используют, чтобы отключить сбор данных в Windows 10. "Sanctuarys" установил саму программу с официального сайта. Выдал все запрашиваемые разрешения и затем начал прослушивать трафик приложения.
Win 10 Tweaker скачал с

Пожалуйста, авторизуйтесь для просмотра ссылки.

ресурса исполняемый код написанный на C#, который записывает в реестр указания удалить 50 первых установленных программ пользователя. При первом входе или выходе из учётной записи, эти программы запустили свои деинсталляторы.
Осенью, на том же

Пожалуйста, авторизуйтесь для просмотра ссылки.

был найден C#-код, который устанавливает на учётную запись пароль "Rock5taR". То есть, если у вас установлен Win 10 Tweaker, разработчик может исполнять любой код на вашем ПК с этого

Пожалуйста, авторизуйтесь для просмотра ссылки.

.

Скажу проще, ваш ПК в чужих руках из-за одной установленной программы. Код исполняется запрашивается и исполняется через Win 10 Tweaker.

Что делать? Удалить Win 10 Tweaker и очистить раздел "Автозагрузка" от подозрительных программ.
И пусть лучше Microsoft собирает ваши данные, чем кто-то делает на вашем ПК непонятно что.

На данный момент

Пожалуйста, авторизуйтесь для просмотра ссылки.

программы заблокирован, но шанс наличия дополнительного зеркала для бэкдора все равно остается. Настоятельно рекомендую удалить Win10 Tweaker с вашего компьютера.

Спасибо за предоставленный материал:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Такой вопрос, если у меня билд винтвикера двух летней давности и следов малварей/рук этого уебища не обнаружено, может ли в этой версии быть малварь?

 

[Bobi94]

Такой вопрос, если у меня билд винтвикера двух летней давности и следов малварей/рук этого уебища не обнаружено, может ли в этой версии быть малварь?

Бекдор только с последней версии.

 

[uwuKingAche]

Бекдор только с последней версии.

Ок, значит пронесло

 

[Irval]

Такой вопрос, если у меня билд винтвикера двух летней давности и следов малварей/рук этого уебища не обнаружено, может ли в этой версии быть малварь?

Бекдор только с последней версии.

Не факт, что только в последней. Следы малвара были впервые обнаружены в 2020

 

[Bobi94]

Не факт, что только в последней. Следы малвара были впервые обнаружены в 2020

Ну факт не факт, юзаю 2ух годовой билд, всё в порядке уже какой год.
Так не разу и не обновлял твикер.
А так, хз, возможно 2 года назад ничего еще подобного не было))

 

[moonpeep]

В погоне за конфиденциальностью, большинство пользователей и не подозревают, как добровольно делятся своими данными с разработчиками разных программ, которые якобы защищают приватность пользователя.
Речь пойдет о программе "Win 10 Tweaker" в которой пользователь "Sanctuarys" из ресурса "Хабр" нашёл бэкдор, который был замечен ещё осенью 2020 года.

Win 10 Tweaker — известная программа, которую используют, чтобы отключить сбор данных в Windows 10. "Sanctuarys" установил саму программу с официального сайта. Выдал все запрашиваемые разрешения и затем начал прослушивать трафик приложения.
Win 10 Tweaker скачал с

Пожалуйста, авторизуйтесь для просмотра ссылки.

ресурса исполняемый код написанный на C#, который записывает в реестр указания удалить 50 первых установленных программ пользователя. При первом входе или выходе из учётной записи, эти программы запустили свои деинсталляторы.
Осенью, на том же

Пожалуйста, авторизуйтесь для просмотра ссылки.

был найден C#-код, который устанавливает на учётную запись пароль "Rock5taR". То есть, если у вас установлен Win 10 Tweaker, разработчик может исполнять любой код на вашем ПК с этого

Пожалуйста, авторизуйтесь для просмотра ссылки.

.

Скажу проще, ваш ПК в чужих руках из-за одной установленной программы. Код исполняется запрашивается и исполняется через Win 10 Tweaker.

Что делать? Удалить Win 10 Tweaker и очистить раздел "Автозагрузка" от подозрительных программ.
И пусть лучше Microsoft собирает ваши данные, чем кто-то делает на вашем ПК непонятно что.

На данный момент

Пожалуйста, авторизуйтесь для просмотра ссылки.

программы заблокирован, но шанс наличия дополнительного зеркала для бэкдора все равно остается. Настоятельно рекомендую удалить Win10 Tweaker с вашего компьютера.

Спасибо за предоставленный материал:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Вот почему не надо лениться и настроить своими руками а не какую то программу качать и не ебать свои мозги

 

[uwuKingAche]

Не факт, что только в последней. Следы малвара были впервые обнаружены в 2020

у меня версия 19 года, но инстальнул прям в начале 20

Ну факт не факт, юзаю 2ух годовой билд, всё в порядке уже какой год.
Так не разу и не обновлял твикер.
А так, хз, возможно 2 года назад ничего еще подобного не было))

Да, именно.
Я ничего такого у себя не обнаружил, ни следов малваря/рук уебича.Но при этом я каждый месяц сканирую Есетом(вряд ли, его может кто то бупасснуть),
У меня следов малварей за 4 года вообще не было)

 

[isbigguy]

В погоне за конфиденциальностью, большинство пользователей и не подозревают, как добровольно делятся своими данными с разработчиками разных программ, которые якобы защищают приватность пользователя.
Речь пойдет о программе "Win 10 Tweaker" в которой пользователь "Sanctuarys" из ресурса "Хабр" нашёл бэкдор, который был замечен ещё осенью 2020 года.

Win 10 Tweaker — известная программа, которую используют, чтобы отключить сбор данных в Windows 10. "Sanctuarys" установил саму программу с официального сайта. Выдал все запрашиваемые разрешения и затем начал прослушивать трафик приложения.
Win 10 Tweaker скачал с

Пожалуйста, авторизуйтесь для просмотра ссылки.

ресурса исполняемый код написанный на C#, который записывает в реестр указания удалить 50 первых установленных программ пользователя. При первом входе или выходе из учётной записи, эти программы запустили свои деинсталляторы.
Осенью, на том же

Пожалуйста, авторизуйтесь для просмотра ссылки.

был найден C#-код, который устанавливает на учётную запись пароль "Rock5taR". То есть, если у вас установлен Win 10 Tweaker, разработчик может исполнять любой код на вашем ПК с этого

Пожалуйста, авторизуйтесь для просмотра ссылки.

.

Скажу проще, ваш ПК в чужих руках из-за одной установленной программы. Код исполняется запрашивается и исполняется через Win 10 Tweaker.

Что делать? Удалить Win 10 Tweaker и очистить раздел "Автозагрузка" от подозрительных программ.
И пусть лучше Microsoft собирает ваши данные, чем кто-то делает на вашем ПК непонятно что.

На данный момент

Пожалуйста, авторизуйтесь для просмотра ссылки.

программы заблокирован, но шанс наличия дополнительного зеркала для бэкдора все равно остается. Настоятельно рекомендую удалить Win10 Tweaker с вашего компьютера.

Спасибо за предоставленный материал:

Пожалуйста, авторизуйтесь для просмотра ссылки.

А я писал о том что это прога подозрительная.

 

[GamerYT]

Немного не по теме но, Win 10 Tweaker написан на C# и в качестве обфускатора использует ConfuserEx. Попытался реверснуть и вот что вышло.




Как минимум этот кусочек кода напрягает.
UPD: справедливости ради (не в защиту автора данного ПО) хочу отметить что бэкдор срабатывает только в том случае если файл "System.Deps.dll" существует по адресу "C:/Users/UserName/AppData/Local/Turbo.net", этот файл будет только в крякнутой версии ПО (своеобразная защита от взлома).
Все файлы что получились в процессе реверса Вы можете скачать тыкнув по кнопке "ТЫК". Приятного просмотра кода :3
Download:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.

 

[Scare]

Irval как всегда показывает уровень)

 

[DredBull]

Перекопистил мою тему... низя так

 

[Irval]

Перекопистил мою тему... низя так

Все же, у меня больше информации)