В этом посте мы публикуем информацию о потенциально нежелательном ПО (Potentially Unwanted Application, PUA), компоненты которого обнаруживаются ESET как Win32/Kankan. Эти компоненты реализованы в менеджере загрузок Xunlei. Мы обратили внимание на это ПО из-за следующих интересных особенностей:
- Для обеспечения своей скрытности и выживаемости в системе это ПО регистрирует один из своих компонентов как плагин для Microsoft Office.
- Обнаруженный вредоносный код осуществляет установку приложений для устройств под управлением Android, которые подключены к компьютеру через USB, без ведома пользователя.
- Win32/Kankan содержит код для обнаружения специальных системных инструментов, которые анализируют его поведение в системе.
- Файлы Xunlei, которые содержат этот вредоносный код, подписаны цифровой подписью, принадлежащей китайской компании Xunlei Networking Technologies (разработчик Xunlei).
История Win32/Kankan началась в июне прошлого года, когда на нескольких китайских форумах появились жалобы на подозрительную программу, подписанную компанией Xunlei Networking Technologies. Компания, о которой идет речь, занимается разработкой ПО Xunlei, которое используется для ускорения скачивания файлов (download manager). Xunlei похож на менеджер загрузок Orbit Downloader, историю с которым мы публиковали раньше.
Как установить ЛЮБУЮ программу без прав администратора
Популярность Xunlei объясняется тем, что эта программа кроме возможности ускоренной закачки файлов позволяет пользователю искать необходимые файлы в сети и потом загружать их оптимизированным способом (торрент-клиент). У программы есть сформированная база адресов различных файлов. Когда нужно скачать тот или иной файл, Xunlei использует браузер или торрент-клиент таким образом, чтобы на загрузку потребовалось минимально возможное время. Для реализации подобной возможности компания Xunlei Networking Technologies встроила в ПО поисковый движок для файлов, торрент-клиент с поддержкой различных протоколов, собственный p2p протокол, а также другие инструменты. Более подробное описание Xunlei можно найти здесь.
Этот менеджер загрузок является очень популярным у китайских пользователей. Исследование TorrentFreak, опубликованное в 2009 г. показывает, что Xunlei — самый востребованный торрент клиент в мире с количеством идентификаторов (ID) пользователей более ста миллионов. В то время как для uTorrent максимальным количеством пользователей было 92 миллиона. Нужно отметить, что Xunlei является локальным продуктом для китайского рынка, так как на официальном сайте отсутствует другой язык кроме китайского, а перевод самого интерфейса ПО на другие языки выполнен сторонними компаниями или самими пользователями.
Выше мы упоминали, что некоторые китайские пользователи обнаружили на своих компьютерах подозрительные файлы, подписанные сертификатом Xunlei Networking Technologies. Сертификат показан ниже.
Как установить программу без прав администратора в Windows 10
Рис. Сертификат, которым подписаны вредоносные файлы.
Эти файлы принадлежали инсталлятору (Windows installer), имя которого было INPEnhSetup.exe. Он основан на системе дистрибутивов Nullsoft Scriptable Install System. В процессе установки инсталлятор связывается с доменом kkyouxi.stat.kankan.com, который жестко зашит в его код, для того, чтобы сообщить серверу о начале новой установки. Затем осуществляется установка в систему трех файлов: INPEn.dll, INPEnhUD.exe и INPEnhSvc.exe.
После этого библиотека INPEn.dll загружается в память и происходит вызов функции DllRegisterServer. Далее установщик снова связывается с kkyouxi.stat.kankan.com и сообщает об окончании своей работы.
Исполнение кода в INPEn.dll начинается с регистрации dll как плагина с именем InputEnhance для Word, Excel и PowerPoint. Для выполнения этой операции он создает разделы реестра в соответствующем расположении, что позволяет библиотеке INPEnh.dll в дальнейшем выступать в качестве плагина для приложений Office. Ниже представлены некоторые из этих ключей реестра.
Рис. Раздел реестра, через который вредоносная DLL осуществляет свою загрузку.
На скриншоте видно, что параметр LoadBehavior установлен в значение 3. Так, плагин будет загружаться каждый раз при запуске приложения. Таким образом, авторы вредоносного кода обеспечивают его выживаемость после перезагрузки и последующий запуск. Каждый раз, когда запускается приложение из состава Microsoft Office (напр., Word, Excel или PowerPoint), эта библиотека загружается в память как плагин. Для пользователя подобное действие является абсолютно прозрачным, то есть он его не видит. INPEn.dll незаметно для пользователя выполняет следующие действия:
- Скачивает с удаленного сервера файл конфигурации tools.ini (conf.kklm.n0808.com/tools.ini). Файл содержит различные параметры, например, список имен различных системных инструментов, который закодирован алгоритмом base64. Ниже представлен этот файл.
- Проверяет запущен ли какой-либо процесс из списка, который представлен в файле конфигурации. Если запущен, библиотека прекращает свою работу. Список приложений одного из файлов конфигурации приведен ниже. Видно, что он содержит имена процессов инструментов анализа и отладки (Windows task manager, Olly Debugger, MS Process Monitor, Wireshark и др.), а не названия процессов антивирусных продуктов. Таким образом, очевидно, что авторы встроили в библиотеку код, который помогает избежать анализа поведения программы или обнаружение ее активности в системе.
- Проверяет активно ли соединение с интернет, пытаясь связаться с известными китайскими ресурсами, например, baidu.com и qq.com. В случае отсутствия подключения к сети, код переходит в цикл ожидания такого подключения.
- Если все предыдущие проверки успешно пройдены, плагин посылает на сервер StatServer (см. файл конфигурации) различную информацию, в частности, версию Windows и имя приложения, в контексте которого была запущена dll. Затем выполняется запуск INPEnhUD.exe.
- Далее код входит в цикл обработки различных задач, которые мы опишем далее.
Приложение INPEnhUD.exe можно описать как апдейтер (программа обновления). Он извлекает из своего кода жестко зашитый адрес xml-файла update.kklm.n0808.com/officeaddinupdate.xml, который представлен ниже.
Рис. Часть «файла обновлений», который используется для загрузки новых исполняемых файлов кодом Xunlei.
Видно, что этот xml-файл содержит список URL-адресов, указывающих на различные исполняемые файлы и их хэши MD5. Файлы из этого списка будут загружены апдейтером на компьютер и после проверки MD5 исполнены. Когда эти действия будут выполнены, код апдейтера запускает исполняемый файл INPEnhSvc.exe, который мы называем сервисом.
Этот INPEnhSvc.exe («сервис») фактически является ядром скрытного кода Xunlei и может выполнять различные удаленные команды. После выполнения тех же проверок на наличие инструментов отладки и анализа, которые мы видели в предыдущем модуле, он скачивает файл конфигурации XML, который может содержать различные команды. Они могут быть разбиты на две группы.
- локальные команды: scanreg, scandesktop, scanfavorites
- удаленные команды: installpcapp, installphoneapp, setdesktopshortcut, addfavorites, setiestartpage
Если сервис получает удаленную команду, то он взаимодействует с плагином Office (описан выше), который отвечает за исполнение этой возможности. Такое взаимодействие происходит через файл конфигурации, который называется tasklist.ini и содержит три различных секции: Doing, Done, DoneByData. Оба исполняемых файла содержат список идентификаторов GUID, каждый из которых ассоциируется с конкретной задачей. Процесс взаимодействия между этими модулями выглядит следующим образом:
- Когда сервис получает удаленную команду, он записывает нужный GUID в секцию Doing с необходимыми параметрами (напр., URL адрес).
- Библиотека, которая была зарегистрирована как плагин Office, читает этот GUID. Затем проверяет присутствие такого GUID в секциях Done и DoneByDate файла tasklist.ini. В случае, если команда еще не была исполнена, т. е. отсутствует в обоих секциях, то она подлежит исполнению.
- Как только команда исполнена, плагин записывает значение GUID в секцию Done. Кроме этого, значения GUID для команд installpcapp и installphoneapp также записываются в секцию DoneByDate. Вероятно, это сделано для последующего повторного исполнения этих команд.
Удаленные команды не нуждаются в дополнительных объяснениях, поскольку их названия говорят сами за себя. Исключение составляет команда installphoneapp, которую мы рассмотрим более подробно.
Приложения для мобильного устройства
Команда installphoneapp, как следует из названия, используется для загрузки мобильного приложения с удаленного сервера и его последующей установки на мобильное устройство под управлением Android (APK файл). Для выполнения этой задачи сервис скачивает приложение Android Debug Bridge (ADB), которое является частью Android SDK. Далее плагин загружает APK файлы чьи адреса указаны в командном XML файле (config.xml) и перечисляет устройства под управлением Android, которые подключены к компьютеру с использованием ADB. После этих операций, код устанавливает каждое из приложений на устройство.
Следует отметить, что приложение будет установлено только в том случае, если устройство под управлением Android подключено к компьютеру через USB, и в нем включена возможность отладки, которая активируется через настройки устройства. Официально она предусмотрена только для разработки приложений, но используется и некоторыми типами приложений, в том числе, в целях обновления прошивки на устройстве. В таком режиме взаимодействия приложение на устройство будет установлено в скрытном режиме и пользователь этого не заметит.
Скриншоты загружаемых приложений показаны ниже.
Рис. Скриншоты приложений, устанавливаемых Xunlei.
Согласно нашему анализу, все эти приложения предоставляют реальные возможности для пользователя. Три из них доступны для скачивания в магазинах приложений. Мы не обнаружили каких-либо вредоносных функций в этих приложениях, тем не менее, следует отметить, что код этих приложений сильно обфусцирован для усложнения анализа.
На данный момент четвертое приложение по-прежнему доступно в Google Play и позволяет пользователям совершать телефонные звонки по так называемым специальным выгодным тарифам. Тем не менее, приложение обладает некоторыми подозрительными функциями, например, регулярное взаимодействие с различными URL адресами, которые известны как распространители рекламного ПО для Android. Данное приложение обнаруживается ESET как Android/SMSreg.BT и также является потенциально нежелательным (Potentially Unwanted Application, PUA).
Мотивация установки этих приложений через скрытный код Xunlei остается неизвестной. Впрочем, не совсем понятна роль компании-разработчика Xunlei Networking Technologies. Дело в том, что файлы, содержащие этот нежелательный код, подписаны цифровым сертификатом этой компании. Кроме этого, дочерний домен kankan.com, который используется в качестве сервера сбора данных (StatServer) также используется в качестве другого сервиса этой компании. Нет сомнений в том, что сотрудники компании знали о нежелательных скрытых возможностях их ПО.
В августе прошлого года представители компании ответили на жалобы пользователей заявлением о том, что некоторые сотрудники использовали ресурсы компании для создания и распространения этого кода. В частности указывалось, что ответственность за это несет один из отделов компании, который без одобрения руководства встроил в ПО такие возможности.
Отметим, что деинсталлятор Xunlei подписан тем же цифровым сертификатом. Он загружается на компьютер пользователя благодаря компоненту апдейтера, о котором мы писали выше. Согласно нашему анализу, деинсталлятор работает корректно и удаляет все элементы программы. Начало и окончание кампании по распространению этой версии Kankan совпадает с индикаторами обнаружений этого PUA ПО в августе и сентябре этого года.
Видно, что уровень распространения этого ПО сильно снизился после пика 8-го августа (деинсталлятор был подписан 9-го августа). Ниже представлена карта активности Win32/Kankan, согласно ESET VirusRadar, на которой видно, что в Китае наблюдалась наибольшая активность.
Использование одной из библиотек Xunlei как плагина Office для сокрытия и последующего внедрения своих нежелательных возможностей, механизм по скрытой установке приложений для Android, а также функциональность бэкдора подтверждают, что продукт Xunlei опасен для пользователей. Таким образом, это ПО было добавлено в базы ESET как Win32/Kankan.
Источник: habr.com
Запрещаем установку нежелательных программ.
Здравствуйте. Наверное, каждому приходилось сталкиваться с надоедливым софтом от mail.ru, который то и дело норовит установиться на компьютер без нашего ведома.
Сегодня я хочу рассказать как с этим бороться, а если быть точнее, то я покажу как запрещать установку нежелательных программ, таких как браузер Амиго и Спутник mail.ru.
Запрещаем установку нежелательных программ
Ставить запрет на установку нежелательных программ мы будем с помощью App Locker установленной по умолчанию в Windows 7 Ultimate и Professional.
Чтобы запретить установку скачайте и распакуйте locker архив. О том, как распаковывать архивы я писал в статье как разархивировать файлы zip и rar
Далее, перейдите в меню пуск, запустите панель управления → система и безопасность → администрирование → службы, найдите службу «удостоверение приложения», переведите её в режим автозапуска и запустите (подробнее об этом я писал в статье про отключение ненужных служб в windows 7).
Теперь не выходя из раздела администрирование, откройте пункт «локальная политика безопасности».
Нажатием на треугольник с левой стороны, раскройте меню раздела «политика управления приложениями».
Кликните правой кнопкой по app locker и нажмите «импортировать политику».
Теперь все, что вам осталось сделать, это с помощью появившегося окна проводника, найти скачанный и распакованный ранее файл locker.xml, запрещающий установку ненужного софта и нажать кнопку «открыть».
Нежелательные программы
Хоть сегодня я и затронул Майл ру, о регистрации в которой писал совсем недавно, но не стоит забывать, что нечестным маркетингом, предлагая установить ненужный софт, грешит не только эта компания, но этим ещё и занимается множество других компаний, частенько предлагающих устанавливать свои тулбары или ещё какой-нибудь нежелательный софт.
Так что проделав все вышеописанные операции и поставив запрещение на установку, вы можете не беспокоиться по поводу того, что кто-то или что-то без вашего разрешения установит на компьютер нежелательные программы типа: спутника майл ру или какого-нибудь тулбара.
А если на вашем компьютере ранее уже была установлена подобная программа, то о том, как её удалить вы узнаете из статьи как оптимизировать работу компьютера.
На этом, пожалуй, я с вами попрощаюсь, всем пока.
Источник: yrokicompa.ru
Нелицензионное програмное обеспечение
Добрый день. Я установила сотруднику лицензионное ПО, но сотрудник может установить на компьютер и не лицензионное ПО без моего ведома. Как мне обезопасить себя от этого? Как зафиксировать, что за это ответственный сотрудник, и что передали ему компьютер с лицензионным ПО?
P.S. вариант настроить права администратора — не подходит, потому что головняк. Уже настроили, сотрудники дергают то одну программу поставить, то другую, «заманались». Посоветуйте нормальный вариант. Акт приема-передачи рабочего места вместе с ПО, прописать в договоре, что обязанности системного администратора выполняют сотрудники и т д. ?
Показать полностью
05 июня 2018, 12:18 , Ольга, г. Нарьян-Мар
Ответы юристов
Юрий Колковский
Юрист, г. Екатеринбург
рейтинг 9.1
Общаться в чате
Акт приема-передачи рабочего места вместе с ПО, прописать в договоре, что обязанности системного администратора выполняют сотрудники и т д. ?
Ольга
Здравствуйте. Вы можете непосредственно в трудовом контракте оговорить состав программного обеспечения, которое присутствует в передаваемом сотруднику компьютере и отдельно оговорить запрет на несанкционированную (без согласования с работодателем в письменном виде) установку им какого-либо оборудования. Любая установка стороннего софта осуществляется исключительно назначенным работодателем сотрудником с подписанием соответствующего акта установки.
Ссылку можно сделать на
Статья 57. Содержание трудового договора
В трудовом договоре могут предусматриваться дополнительные условия, не ухудшающие положение работника по сравнению с установленным трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективным договором, соглашениями, локальными нормативными актами, в частности:
об уточнении места работы (с указанием структурного подразделения и его местонахождения) и (или) о рабочем месте;
При этом логично было бы разработать специальное положение о пользовании компьютерной техникой и оговорить условия пользования в этом положении, сделав соответствующую ссылку в трудовом контракте на то, что сотрудник ознакомлен и обязуется это положение выполнять.
05 июня 2018, 12:30
Олег Васев
Адвокат, г. Ижевск
Общаться в чате
Здравствуйте. А Вы как работодатель, системный администратор или как?
обязанности системного администратора выполняют сотрудники
Ольга
если это не входит в его трудовую функцию, указанную в трудовом договоре, то соответственно прописывать это не имеет никакого смысла. И в каком договоре Вы хотели бы это прописать? Оптимально конечно указать в ТД, что работнику установлено ПО такое-то с указание того, что всё ПО, что установлено на компьютере (инв № . ) на момент передачи сотруднику, является лицензионным. То есть отразить конкретный перечень ПО, которое установлено на дату подписания ТД. или как вариант передавать компьютер работнику на ответственное хранение (передача именно как материальную ценность) с подписание соответствующих документов. Тут примерно указан алгоритм https://bbf.ru/documents/3785/ Также не исключен вариант с прямым запретом для работнику самостоятельной установки ПО.
05 июня 2018, 12:30
Владимир Балашов
Юрист, г. Москва
рейтинг 9.8
Общаться в чате
Я установила сотруднику лицензионное ПО, но сотрудник может установить на компьютер и не лицензионное ПО без моего ведома. Как мне обезопасить себя от этого? Как зафиксировать, что за это ответственный сотрудник, и что передали ему компьютер с лицензионным ПО?
Ольга
Если у вас на работе за этим компьютером сидит только 1 человек- то достаточно в трудовом договоре с ним указать это рабочее место с указанием ВСЕГО лицензионного по которое там стоит.
Естественно с указанием что иное по не лицензионное ставить нельзя, да и вообще любое проф. по- только с разрешения работодателя.
Или тогда издавать приказ что в организации используют только следующее лицензионное по- с указанием всего этого по- и письменно под подпись знакомить с ним всех сотрудников.
Правда риск остается все равно — допустим он сам без вашего ведома что то поставил на рабочий комп- и при проверке это нашли — доказать вашу невиновность будет оч сложно даже при наличии приказов- просто потому что за действия работника отвечает работодатель по ст 1068 гк.
А правообладатель тоже будет требовать компенсации по ст 1301 гк как раз, и только если в конкретном случае сможете доказать что это было без вашего ведома и по вине сотрудника- тогда можно вину на него пережить будет.
05 июня 2018, 12:31
Дмитрий Мещеряков
Юрист, г. Челябинск
Общаться в чате
Сделать для Вас довольно таки просто.
Вам нужно на Вашем предприятии создать локальный правовой акт (например называть его «Положение по обеспечению информационной безопасности на рабочем месте»).
В нём Вы указываете о запрете на самовольную установку ПО (или только нелицензионного ПО), а также какое именно ПО установлено на рабочем месте.
С данным положением ознакамливаете сотрудников под роспись.
05 июня 2018, 12:38
Роман Артемьев
Юрист, г. Москва
рейтинг 8.4
Общаться в чате
Уважаемая Ольга,
В дополнение к ответам коллег прикладываю образец готового «Положения об использовании программного обеспечения в организации» со всеми необходимыми приложениями, которое Вы можете использовать для разработки аналогичного Положения применительно к Вашей организации (какие-то пункты уберете, какие-то добавите).
Чтобы это положение имело юридическую силу локального нормативного акта и было обязательно для исполнения всеми сотрудниками организации (под страхом наложения санкций, например, штрафа, размер и условия применения которого Вы можете установить сами), нужно ввести его в действие приказом по предприятию, ознакомить с приказом и самим Положением всех сотрудников под роспись.
Образцы этих документов также прилагаю.
Также к сведению:
За использование нелицензионных программ, помимо гражданско-правовой ответственности, предусмотрена также ответственность:
административная (ч.1. Статьи 7.12 КоАП РФ . Нарушение авторских и смежных прав, изобретательских и патентных прав: http://www.consultant.ru/docum. )
уголовная (ч.2 статьи 146 УК РФ.Нарушение авторских и смежных прав http://www.consultant.ru/docum. ).
С уважением, Артемьев Роман
P.S. При возникновении других вопросов или необходимости в подготовке документов — обращайтесь в чат к юристу.
06 июня 2018, 05:17
Похожие вопросы
Земельное право
Министерство имущественных отношений и государственного заказа Тамбовской области, согласно изданного приказа, решило выполнить в 2023 году в конкретном кадастровом квартале, где находится наше действующее садоводческое товарищество, комплексные кадастровые работы на территории области за счет бюджетных средств области и уведомило председателя. А также опубликовало информационное письмо.
У товарищества есть земли общего пользования, межевание которых не проводилось по новым стандартам. Ряд собственников садовых участков ранее проводили межевание участков для своих нужд. Со стороны садоводов и правления СТ не поступало волеизъявления на проведение межевания.
Для справки, председатель уже несколько лет не платит налог за земли общего пользования, по собственной инициативе, но до этого исправно платил. Председатель собрал собрание по поводу проведения данных кадастровых работ.
Вопросы: 1. Будет ли учитываться желание садоводов (правообладателей объектов недвижимости, расположенных на территории комплексных кадастровых работ) из данного товарищества, закрепленное общим голосованием на собрании членов СТ на проведение или не провидение данных комплексных кадастровых работ? Согласно каких нормативно-правовых актов?
2. Могут ли садоводы путем решения на общем собрании или иным образом отказаться от проведения данных кадастровых работ? Согласно каких нормативно-правовых актов? 3. Если не будет выбран представитель садоводческого товарищества для участия в согласительной комиссии по данным кадастровым работам, будут ли они проводиться без представителя СТ?
4. В информационном письме, в п.4 указано на то, что правообладатели объектов недвижимости, расположенных на территории комплексных кадастровых работ не вправе препятствовать выполнению комплексных кадастровых работ и обязаны обеспечить доступ к указанным объектам недвижимости исполнителю комплексных кадастровых работ в установленное графиком время. К какой ответственности могут быть привлечены правообладатели объектов недвижимости в случае отказа или уклонения от обеспечения доступа к указанным объектам недвижимости? Согласно каких нормативно-правовых актов?
Показать полностью
08 июня, 06:33 , вопрос №3733728, Александр Devil, г. Москва
Трудовое право
Работодатель принял решения сократить затраты на разработчиков программного обеспечения – увольнение четырех сотрудников, в том числе и меня по соглашению сторон с выплатой суммы денежной компенсации за 2 месяца заработанной платы. Работодателем (через кадровый отдел) заявлено, что выплачивать денежную компенсация за все неиспользованные отпуска не будут. За время работы в организации я был в отпуске 54 дня. Расчет за все неиспользованные отпуска нет по н.в. Соответсвенно вопрос, в течении какого времени я могу подать в суд за разрешением индивидуального трудового спора
Показать полностью
05 июня, 22:04 , вопрос №3730618, Антон, г. Москва
Семейное право
Здравствуйте Подскажите, если у военнослужащего кроме 2х несовершеннолетних детей на иждивении находится ещё и его мать, является ли это достаточным основанием для внеочередного обеспечения такого военнослужащего жильем/субсидией на жилье?
Показать полностью
03 июня, 17:13 , вопрос №3728324, Наталья, г. Москва
Военное право
Добрый день! Хочу попасть добровольцем в зону СВО, но в пять лет переболел гепатитом б, хронический, по этой причине получил отказ на медкомиссии в военкомате, в военном билете указана категория «в», ограничено годен к в/с. Могу ли я добиться права участвовать добровольцем в СВО, пусть хоть в частях тыла или частях обеспечения? Спасибо.
Показать полностью
02 июня, 13:58 , вопрос №3727249, Кирилл, г. Москва
Семейное право
Здравствуйте, мне 16 лет я парень. У меня очень плохие отношения с матерью, она часто выгоняет из дома, денег не давала на моё обеспечение. Поэтому я вел бродяжеский образ жизни до 15 лет, у меня много приводов в полицию, и я даже был в спец училище.
Вышел я оттуда в 15 лет, потом познакомился с девушкой которая не много постарше меня, мы начали отношения с матерью я поддерживал связь, и бывало приходил домой и она не выгоняла когда у нее было хорошее настроение, и даже давала не много денег, ей на меня приходят детские около 9 тысяч и иногда я просил не много на одежду, и она давала пока в хорошем настроении, но как только портилось она снова выгоняла и не давала денег, и т.к мне негде жить я ушел жить к девушке которой 19, я познакомился с её родителями, и все хорошо мы жили. С матерью поддерживал связь и она была не против что я живу у нее. Теперь мне 16 девушке 20, и я попросил у мамы денег на новый телефон, но на на это она отреагировала негативно, начала говорить что сдаст меня в интернат где я буду под надзором и денег она мне уж точно не даст. Поэтому скажите пожалуйста как поступить в этой ситуации, и мать действительно сможет меня сдать в интернат, сейчас я живу спокойной жизнью ни где не попадаюсь и учусь и все хорошо, только дома не живу из-за матери.
Источник: pravoved.ru