Что нового?

Бэкдор в Win 10 Tweaker

  • Автор темы Автор темы Irval
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.
Irval
Олдфаг
Irval
Олдфаг
Статус
Оффлайн
Регистрация
18 Фев 2019
Сообщения
2,842
Реакции
1,853
В погоне за конфиденциальностью, большинство пользователей и не подозревают, как добровольно делятся своими данными с разработчиками разных программ, которые якобы защищают приватность пользователя.
Речь пойдет о программе "Win 10 Tweaker" в которой пользователь "Sanctuarys" из ресурса "Хабр" нашёл бэкдор, который был замечен ещё осенью 2020 года.

Win 10 Tweaker — известная программа, которую используют, чтобы отключить сбор данных в Windows 10. "Sanctuarys" установил саму программу с официального сайта. Выдал все запрашиваемые разрешения и затем начал прослушивать трафик приложения.
Win 10 Tweaker скачал с
Пожалуйста, авторизуйтесь для просмотра ссылки.
ресурса исполняемый код написанный на C#, который записывает в реестр указания удалить 50 первых установленных программ пользователя. При первом входе или выходе из учётной записи, эти программы запустили свои деинсталляторы.
Осенью, на том же
Пожалуйста, авторизуйтесь для просмотра ссылки.
был найден C#-код, который устанавливает на учётную запись пароль "Rock5taR". То есть, если у вас установлен Win 10 Tweaker, разработчик может исполнять любой код на вашем ПК с этого
Пожалуйста, авторизуйтесь для просмотра ссылки.
.

Скажу проще, ваш ПК в чужих руках из-за одной установленной программы. Код исполняется запрашивается и исполняется через Win 10 Tweaker.

Что делать? Удалить Win 10 Tweaker и очистить раздел "Автозагрузка" от подозрительных программ.
И пусть лучше Microsoft собирает ваши данные, чем кто-то делает на вашем ПК непонятно что.

На данный момент
Пожалуйста, авторизуйтесь для просмотра ссылки.
программы заблокирован, но шанс наличия дополнительного зеркала для бэкдора все равно остается. Настоятельно рекомендую удалить Win10 Tweaker с вашего компьютера.

Спасибо за предоставленный материал:
Пожалуйста, авторизуйтесь для просмотра ссылки.
 
было уже
 
Сколько же он логинов с паролями нафармил
 
Всегда всё ручками делал :)
 
да прикольно тему зачем пересоздавать
 
Irval написал(а):
По статистике с сайта программу скачало около 1.5 млн человек. Сложно судить, но числа огромные
Нажмите для раскрытия...
стремно качать что либо сейчас, в каждую программу могут напихать кучу «бонусов»
 
Irval написал(а):
В погоне за конфиденциальностью, большинство пользователей и не подозревают, как добровольно делятся своими данными с разработчиками разных программ, которые якобы защищают приватность пользователя.
Речь пойдет о программе "Win 10 Tweaker" в которой пользователь "Sanctuarys" из ресурса "Хабр" нашёл бэкдор, который был замечен ещё осенью 2020 года.

Win 10 Tweaker — известная программа, которую используют, чтобы отключить сбор данных в Windows 10. "Sanctuarys" установил саму программу с официального сайта. Выдал все запрашиваемые разрешения и затем начал прослушивать трафик приложения.
Win 10 Tweaker скачал с
Пожалуйста, авторизуйтесь для просмотра ссылки.
ресурса исполняемый код написанный на C#, который записывает в реестр указания удалить 50 первых установленных программ пользователя. При первом входе или выходе из учётной записи, эти программы запустили свои деинсталляторы.
Осенью, на том же
Пожалуйста, авторизуйтесь для просмотра ссылки.
был найден C#-код, который устанавливает на учётную запись пароль "Rock5taR". То есть, если у вас установлен Win 10 Tweaker, разработчик может исполнять любой код на вашем ПК с этого
Пожалуйста, авторизуйтесь для просмотра ссылки.
.

Скажу проще, ваш ПК в чужих руках из-за одной установленной программы. Код исполняется запрашивается и исполняется через Win 10 Tweaker.

Что делать? Удалить Win 10 Tweaker и очистить раздел "Автозагрузка" от подозрительных программ.
И пусть лучше Microsoft собирает ваши данные, чем кто-то делает на вашем ПК непонятно что.

На данный момент
Пожалуйста, авторизуйтесь для просмотра ссылки.
программы заблокирован, но шанс наличия дополнительного зеркала для бэкдора все равно остается. Настоятельно рекомендую удалить Win10 Tweaker с вашего компьютера.

Спасибо за предоставленный материал:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Нажмите для раскрытия...
Такой вопрос, если у меня билд винтвикера двух летней давности и следов малварей/рук этого уебища не обнаружено, может ли в этой версии быть малварь?
 
uwuKingAche написал(а):
Такой вопрос, если у меня билд винтвикера двух летней давности и следов малварей/рук этого уебища не обнаружено, может ли в этой версии быть малварь?
Нажмите для раскрытия...
Бекдор только с последней версии.
 
uwuKingAche написал(а):
Такой вопрос, если у меня билд винтвикера двух летней давности и следов малварей/рук этого уебища не обнаружено, может ли в этой версии быть малварь?
Нажмите для раскрытия...
Bobi94 написал(а):
Бекдор только с последней версии.
Нажмите для раскрытия...
Не факт, что только в последней. Следы малвара были впервые обнаружены в 2020
 
Irval написал(а):
Не факт, что только в последней. Следы малвара были впервые обнаружены в 2020
Нажмите для раскрытия...
Ну факт не факт, юзаю 2ух годовой билд, всё в порядке уже какой год.
Так не разу и не обновлял твикер.
А так, хз, возможно 2 года назад ничего еще подобного не было))
 
Irval написал(а):
В погоне за конфиденциальностью, большинство пользователей и не подозревают, как добровольно делятся своими данными с разработчиками разных программ, которые якобы защищают приватность пользователя.
Речь пойдет о программе "Win 10 Tweaker" в которой пользователь "Sanctuarys" из ресурса "Хабр" нашёл бэкдор, который был замечен ещё осенью 2020 года.

Win 10 Tweaker — известная программа, которую используют, чтобы отключить сбор данных в Windows 10. "Sanctuarys" установил саму программу с официального сайта. Выдал все запрашиваемые разрешения и затем начал прослушивать трафик приложения.
Win 10 Tweaker скачал с
Пожалуйста, авторизуйтесь для просмотра ссылки.
ресурса исполняемый код написанный на C#, который записывает в реестр указания удалить 50 первых установленных программ пользователя. При первом входе или выходе из учётной записи, эти программы запустили свои деинсталляторы.
Осенью, на том же
Пожалуйста, авторизуйтесь для просмотра ссылки.
был найден C#-код, который устанавливает на учётную запись пароль "Rock5taR". То есть, если у вас установлен Win 10 Tweaker, разработчик может исполнять любой код на вашем ПК с этого
Пожалуйста, авторизуйтесь для просмотра ссылки.
.

Скажу проще, ваш ПК в чужих руках из-за одной установленной программы. Код исполняется запрашивается и исполняется через Win 10 Tweaker.

Что делать? Удалить Win 10 Tweaker и очистить раздел "Автозагрузка" от подозрительных программ.
И пусть лучше Microsoft собирает ваши данные, чем кто-то делает на вашем ПК непонятно что.

На данный момент
Пожалуйста, авторизуйтесь для просмотра ссылки.
программы заблокирован, но шанс наличия дополнительного зеркала для бэкдора все равно остается. Настоятельно рекомендую удалить Win10 Tweaker с вашего компьютера.

Спасибо за предоставленный материал:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Нажмите для раскрытия...
Вот почему не надо лениться и настроить своими руками а не какую то программу качать и не ебать свои мозги
 
Irval написал(а):
Не факт, что только в последней. Следы малвара были впервые обнаружены в 2020
Нажмите для раскрытия...
у меня версия 19 года, но инстальнул прям в начале 20
Bobi94 написал(а):
Ну факт не факт, юзаю 2ух годовой билд, всё в порядке уже какой год.
Так не разу и не обновлял твикер.
А так, хз, возможно 2 года назад ничего еще подобного не было))
Нажмите для раскрытия...
Да, именно.
Я ничего такого у себя не обнаружил, ни следов малваря/рук уебича.Но при этом я каждый месяц сканирую Есетом(вряд ли, его может кто то бупасснуть),
У меня следов малварей за 4 года вообще не было)
 
Irval написал(а):
В погоне за конфиденциальностью, большинство пользователей и не подозревают, как добровольно делятся своими данными с разработчиками разных программ, которые якобы защищают приватность пользователя.
Речь пойдет о программе "Win 10 Tweaker" в которой пользователь "Sanctuarys" из ресурса "Хабр" нашёл бэкдор, который был замечен ещё осенью 2020 года.

Win 10 Tweaker — известная программа, которую используют, чтобы отключить сбор данных в Windows 10. "Sanctuarys" установил саму программу с официального сайта. Выдал все запрашиваемые разрешения и затем начал прослушивать трафик приложения.
Win 10 Tweaker скачал с
Пожалуйста, авторизуйтесь для просмотра ссылки.
ресурса исполняемый код написанный на C#, который записывает в реестр указания удалить 50 первых установленных программ пользователя. При первом входе или выходе из учётной записи, эти программы запустили свои деинсталляторы.
Осенью, на том же
Пожалуйста, авторизуйтесь для просмотра ссылки.
был найден C#-код, который устанавливает на учётную запись пароль "Rock5taR". То есть, если у вас установлен Win 10 Tweaker, разработчик может исполнять любой код на вашем ПК с этого
Пожалуйста, авторизуйтесь для просмотра ссылки.
.

Скажу проще, ваш ПК в чужих руках из-за одной установленной программы. Код исполняется запрашивается и исполняется через Win 10 Tweaker.

Что делать? Удалить Win 10 Tweaker и очистить раздел "Автозагрузка" от подозрительных программ.
И пусть лучше Microsoft собирает ваши данные, чем кто-то делает на вашем ПК непонятно что.

На данный момент
Пожалуйста, авторизуйтесь для просмотра ссылки.
программы заблокирован, но шанс наличия дополнительного зеркала для бэкдора все равно остается. Настоятельно рекомендую удалить Win10 Tweaker с вашего компьютера.

Спасибо за предоставленный материал:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Нажмите для раскрытия...
А я писал о том что это прога подозрительная.
 
Немного не по теме но, Win 10 Tweaker написан на C# и в качестве обфускатора использует ConfuserEx. Попытался реверснуть и вот что вышло.


1621070733363.png


Как минимум этот кусочек кода напрягает.
UPD: справедливости ради (не в защиту автора данного ПО) хочу отметить что бэкдор срабатывает только в том случае если файл "System.Deps.dll" существует по адресу "C:/Users/UserName/AppData/Local/Turbo.net", этот файл будет только в крякнутой версии ПО (своеобразная защита от взлома).
Все файлы что получились в процессе реверса Вы можете скачать тыкнув по кнопке "ТЫК". Приятного просмотра кода :3
Download:
Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.
 
Последнее редактирование:
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
@Irval как всегда показывает уровень)
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Перекопистил мою тему... низя так
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

ssonxiss
Какой антивирус выбрать в 2023 году?
Ответы
8
Просмотры
1K
Eject37
Eject37
O
Зачем нужны антивирусники? Вопросы и ответы
Ответы
4
Просмотры
689
M0nday
M0nday
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу