Бэкдор в Win 10 Tweaker

Статус
В этой теме нельзя размещать новые ответы.
Олдфаг
Статус
Оффлайн
Регистрация
18 Фев 2019
Сообщения
2,825
Реакции[?]
1,852
Поинты[?]
24K
В погоне за конфиденциальностью, большинство пользователей и не подозревают, как добровольно делятся своими данными с разработчиками разных программ, которые якобы защищают приватность пользователя.
Речь пойдет о программе "Win 10 Tweaker" в которой пользователь "Sanctuarys" из ресурса "Хабр" нашёл бэкдор, который был замечен ещё осенью 2020 года.

Win 10 Tweaker — известная программа, которую используют, чтобы отключить сбор данных в Windows 10. "Sanctuarys" установил саму программу с официального сайта. Выдал все запрашиваемые разрешения и затем начал прослушивать трафик приложения.
Win 10 Tweaker скачал с
Пожалуйста, авторизуйтесь для просмотра ссылки.
ресурса исполняемый код написанный на C#, который записывает в реестр указания удалить 50 первых установленных программ пользователя. При первом входе или выходе из учётной записи, эти программы запустили свои деинсталляторы.
Осенью, на том же
Пожалуйста, авторизуйтесь для просмотра ссылки.
был найден C#-код, который устанавливает на учётную запись пароль "Rock5taR". То есть, если у вас установлен Win 10 Tweaker, разработчик может исполнять любой код на вашем ПК с этого
Пожалуйста, авторизуйтесь для просмотра ссылки.
.

Скажу проще, ваш ПК в чужих руках из-за одной установленной программы. Код исполняется запрашивается и исполняется через Win 10 Tweaker.

Что делать? Удалить Win 10 Tweaker и очистить раздел "Автозагрузка" от подозрительных программ.
И пусть лучше Microsoft собирает ваши данные, чем кто-то делает на вашем ПК непонятно что.

На данный момент
Пожалуйста, авторизуйтесь для просмотра ссылки.
программы заблокирован, но шанс наличия дополнительного зеркала для бэкдора все равно остается. Настоятельно рекомендую удалить Win10 Tweaker с вашего компьютера.

Спасибо за предоставленный материал:
Пожалуйста, авторизуйтесь для просмотра ссылки.
 
Олдфаг
Статус
Оффлайн
Регистрация
18 Фев 2019
Сообщения
2,825
Реакции[?]
1,852
Поинты[?]
24K
Обрыган
Начинающий
Статус
Оффлайн
Регистрация
25 Мар 2020
Сообщения
256
Реакции[?]
23
Поинты[?]
0
да прикольно тему зачем пересоздавать
 
Олдфаг
Статус
Оффлайн
Регистрация
18 Фев 2019
Сообщения
2,825
Реакции[?]
1,852
Поинты[?]
24K
?
Эксперт
Статус
Оффлайн
Регистрация
4 Май 2020
Сообщения
1,595
Реакции[?]
535
Поинты[?]
4K
По статистике с сайта программу скачало около 1.5 млн человек. Сложно судить, но числа огромные
стремно качать что либо сейчас, в каждую программу могут напихать кучу «бонусов»
 
Пользователь
Статус
Оффлайн
Регистрация
28 Янв 2020
Сообщения
254
Реакции[?]
94
Поинты[?]
1K
В погоне за конфиденциальностью, большинство пользователей и не подозревают, как добровольно делятся своими данными с разработчиками разных программ, которые якобы защищают приватность пользователя.
Речь пойдет о программе "Win 10 Tweaker" в которой пользователь "Sanctuarys" из ресурса "Хабр" нашёл бэкдор, который был замечен ещё осенью 2020 года.

Win 10 Tweaker — известная программа, которую используют, чтобы отключить сбор данных в Windows 10. "Sanctuarys" установил саму программу с официального сайта. Выдал все запрашиваемые разрешения и затем начал прослушивать трафик приложения.
Win 10 Tweaker скачал с
Пожалуйста, авторизуйтесь для просмотра ссылки.
ресурса исполняемый код написанный на C#, который записывает в реестр указания удалить 50 первых установленных программ пользователя. При первом входе или выходе из учётной записи, эти программы запустили свои деинсталляторы.
Осенью, на том же
Пожалуйста, авторизуйтесь для просмотра ссылки.
был найден C#-код, который устанавливает на учётную запись пароль "Rock5taR". То есть, если у вас установлен Win 10 Tweaker, разработчик может исполнять любой код на вашем ПК с этого
Пожалуйста, авторизуйтесь для просмотра ссылки.
.

Скажу проще, ваш ПК в чужих руках из-за одной установленной программы. Код исполняется запрашивается и исполняется через Win 10 Tweaker.

Что делать? Удалить Win 10 Tweaker и очистить раздел "Автозагрузка" от подозрительных программ.
И пусть лучше Microsoft собирает ваши данные, чем кто-то делает на вашем ПК непонятно что.

На данный момент
Пожалуйста, авторизуйтесь для просмотра ссылки.
программы заблокирован, но шанс наличия дополнительного зеркала для бэкдора все равно остается. Настоятельно рекомендую удалить Win10 Tweaker с вашего компьютера.

Спасибо за предоставленный материал:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Такой вопрос, если у меня билд винтвикера двух летней давности и следов малварей/рук этого уебища не обнаружено, может ли в этой версии быть малварь?
 
Пользователь
Статус
Оффлайн
Регистрация
27 Окт 2016
Сообщения
367
Реакции[?]
123
Поинты[?]
29K
Такой вопрос, если у меня билд винтвикера двух летней давности и следов малварей/рук этого уебища не обнаружено, может ли в этой версии быть малварь?
Бекдор только с последней версии.
 
Олдфаг
Статус
Оффлайн
Регистрация
18 Фев 2019
Сообщения
2,825
Реакции[?]
1,852
Поинты[?]
24K
Такой вопрос, если у меня билд винтвикера двух летней давности и следов малварей/рук этого уебища не обнаружено, может ли в этой версии быть малварь?
Бекдор только с последней версии.
Не факт, что только в последней. Следы малвара были впервые обнаружены в 2020
 
Пользователь
Статус
Оффлайн
Регистрация
27 Окт 2016
Сообщения
367
Реакции[?]
123
Поинты[?]
29K
Не факт, что только в последней. Следы малвара были впервые обнаружены в 2020
Ну факт не факт, юзаю 2ух годовой билд, всё в порядке уже какой год.
Так не разу и не обновлял твикер.
А так, хз, возможно 2 года назад ничего еще подобного не было))
 
Пользователь
Статус
Оффлайн
Регистрация
9 Май 2018
Сообщения
1,108
Реакции[?]
141
Поинты[?]
2K
В погоне за конфиденциальностью, большинство пользователей и не подозревают, как добровольно делятся своими данными с разработчиками разных программ, которые якобы защищают приватность пользователя.
Речь пойдет о программе "Win 10 Tweaker" в которой пользователь "Sanctuarys" из ресурса "Хабр" нашёл бэкдор, который был замечен ещё осенью 2020 года.

Win 10 Tweaker — известная программа, которую используют, чтобы отключить сбор данных в Windows 10. "Sanctuarys" установил саму программу с официального сайта. Выдал все запрашиваемые разрешения и затем начал прослушивать трафик приложения.
Win 10 Tweaker скачал с
Пожалуйста, авторизуйтесь для просмотра ссылки.
ресурса исполняемый код написанный на C#, который записывает в реестр указания удалить 50 первых установленных программ пользователя. При первом входе или выходе из учётной записи, эти программы запустили свои деинсталляторы.
Осенью, на том же
Пожалуйста, авторизуйтесь для просмотра ссылки.
был найден C#-код, который устанавливает на учётную запись пароль "Rock5taR". То есть, если у вас установлен Win 10 Tweaker, разработчик может исполнять любой код на вашем ПК с этого
Пожалуйста, авторизуйтесь для просмотра ссылки.
.

Скажу проще, ваш ПК в чужих руках из-за одной установленной программы. Код исполняется запрашивается и исполняется через Win 10 Tweaker.

Что делать? Удалить Win 10 Tweaker и очистить раздел "Автозагрузка" от подозрительных программ.
И пусть лучше Microsoft собирает ваши данные, чем кто-то делает на вашем ПК непонятно что.

На данный момент
Пожалуйста, авторизуйтесь для просмотра ссылки.
программы заблокирован, но шанс наличия дополнительного зеркала для бэкдора все равно остается. Настоятельно рекомендую удалить Win10 Tweaker с вашего компьютера.

Спасибо за предоставленный материал:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Вот почему не надо лениться и настроить своими руками а не какую то программу качать и не ебать свои мозги
 
Пользователь
Статус
Оффлайн
Регистрация
28 Янв 2020
Сообщения
254
Реакции[?]
94
Поинты[?]
1K
Не факт, что только в последней. Следы малвара были впервые обнаружены в 2020
у меня версия 19 года, но инстальнул прям в начале 20
Ну факт не факт, юзаю 2ух годовой билд, всё в порядке уже какой год.
Так не разу и не обновлял твикер.
А так, хз, возможно 2 года назад ничего еще подобного не было))
Да, именно.
Я ничего такого у себя не обнаружил, ни следов малваря/рук уебича.Но при этом я каждый месяц сканирую Есетом(вряд ли, его может кто то бупасснуть),
У меня следов малварей за 4 года вообще не было)
 
Участник
Статус
Оффлайн
Регистрация
4 Фев 2019
Сообщения
739
Реакции[?]
225
Поинты[?]
0
В погоне за конфиденциальностью, большинство пользователей и не подозревают, как добровольно делятся своими данными с разработчиками разных программ, которые якобы защищают приватность пользователя.
Речь пойдет о программе "Win 10 Tweaker" в которой пользователь "Sanctuarys" из ресурса "Хабр" нашёл бэкдор, который был замечен ещё осенью 2020 года.

Win 10 Tweaker — известная программа, которую используют, чтобы отключить сбор данных в Windows 10. "Sanctuarys" установил саму программу с официального сайта. Выдал все запрашиваемые разрешения и затем начал прослушивать трафик приложения.
Win 10 Tweaker скачал с
Пожалуйста, авторизуйтесь для просмотра ссылки.
ресурса исполняемый код написанный на C#, который записывает в реестр указания удалить 50 первых установленных программ пользователя. При первом входе или выходе из учётной записи, эти программы запустили свои деинсталляторы.
Осенью, на том же
Пожалуйста, авторизуйтесь для просмотра ссылки.
был найден C#-код, который устанавливает на учётную запись пароль "Rock5taR". То есть, если у вас установлен Win 10 Tweaker, разработчик может исполнять любой код на вашем ПК с этого
Пожалуйста, авторизуйтесь для просмотра ссылки.
.

Скажу проще, ваш ПК в чужих руках из-за одной установленной программы. Код исполняется запрашивается и исполняется через Win 10 Tweaker.

Что делать? Удалить Win 10 Tweaker и очистить раздел "Автозагрузка" от подозрительных программ.
И пусть лучше Microsoft собирает ваши данные, чем кто-то делает на вашем ПК непонятно что.

На данный момент
Пожалуйста, авторизуйтесь для просмотра ссылки.
программы заблокирован, но шанс наличия дополнительного зеркала для бэкдора все равно остается. Настоятельно рекомендую удалить Win10 Tweaker с вашего компьютера.

Спасибо за предоставленный материал:
Пожалуйста, авторизуйтесь для просмотра ссылки.
А я писал о том что это прога подозрительная.
 
Пользователь
Статус
Оффлайн
Регистрация
24 Фев 2019
Сообщения
164
Реакции[?]
83
Поинты[?]
0
Немного не по теме но, Win 10 Tweaker написан на C# и в качестве обфускатора использует ConfuserEx. Попытался реверснуть и вот что вышло.


1621070733363.png

Как минимум этот кусочек кода напрягает.
UPD: справедливости ради (не в защиту автора данного ПО) хочу отметить что бэкдор срабатывает только в том случае если файл "System.Deps.dll" существует по адресу "C:/Users/UserName/AppData/Local/Turbo.net", этот файл будет только в крякнутой версии ПО (своеобразная защита от взлома).
Все файлы что получились в процессе реверса Вы можете скачать тыкнув по кнопке "ТЫК". Приятного просмотра кода :3
Download:
Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.
 
Последнее редактирование:
(ノ◕ヮ◕)ノ*:・゚✧
Забаненный
Статус
Оффлайн
Регистрация
10 Ноя 2019
Сообщения
1,173
Реакции[?]
561
Поинты[?]
1K
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Irval как всегда показывает уровень)
 
Эх, жизнь — хоть за хуй
Забаненный
Статус
Оффлайн
Регистрация
8 Июл 2019
Сообщения
2,993
Реакции[?]
1,656
Поинты[?]
1K
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Перекопистил мою тему... низя так
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу