Столкнулся с тем, что многие антивирусы ругаются на Mediaget. Но подозреваю, что такими способом идет борьба антивирусных компаний с нелицензионным контентом. Что думаете по этому поводу?
в избранное
Юзерн ейм [2.4K]
5 лет назад
- Mediaget — не единственный торрент-клиент. И даже не самый популярный. Отчего же борются только с ним? Может всё-таки именно потому, что именно с ним не всё в порядке?
- Доктор Веб отвечал почему он блокирует Mediaget. Не за то, что через него можно качать нелицензионный контент. В первую очередь за нечистоплотные пути распространения. Т.е. за то, что он пытается обмануть внимание пользователя и поставиться ему на компьютер насильно. Ещё и принеся с собой гору хлама. Именно для того, чтобы неопытные пользователи не поставили Mediaget случайно (!), он и внесён в базы. Если вам он нужен — внесите его в исключения своего антивируса.
- Борьба с нелицензионным контентом — вообще не функция антивирусов. Их функция защищать своих пользователей от угроз. Если антивирусная компания вздумает портить пользователям жизнь, они просто уйдут к другой компании.
- Впрочем, это в данном конкретном случае будет непросто: основные антивирусы все дружно ругаются на Mediaget. И тут одно из двух: или потому что он это заслужил, или это всемирный заговор — тогда вам может помочь шапочка из фольги.
автор вопроса выбрал этот ответ лучшим
MediaGet.Майнер или нет?
Источник: www.bolshoyvopros.ru
Срыв масштабной хакерской атаки на пользователей Windows в России: часть 2
Совсем недавно мы предотвратили массовую атаку с применением трояна Dofoil, целью которой была установка вредоносного ПО для майнинга криптовалют на сотни тысяч компьютеров. С помощью поведенческого мониторинга, моделей машинного обучения и многоуровневой системы защиты антивирусная программа Windows Defender смогла эффективно выявить и заблокировать атаку в течение несколько миллисекунд.
Сегодня мы еще подробнее расскажем о самой атаке, путях заражения и поделимся временно́й шкалой. Заглядывайте под кат!
Сразу после обнаружения атаки мы смогли определить, откуда именно совершается огромное количество попыток установить вредоносное ПО. Как правило, троян Dofoil (также известный как Smoke Loader) распространяется самыми разными способами, включая спам-сообщения и наборы эксплойтов. Для атаки, которая началась 6 марта, использовалась другая схема: большинство вредоносных файлов создавалось процессом mediaget.exe.
Этот процесс относится к MediaGet, BitTorrent-клиенту, соответствующему классификации семейств потенциально нежелательных приложений. Пользователи часто используют приложение MediaGet для поиска и загрузки программ и мультимедийных файлов с сайтов с сомнительной репутацией. Использование таких приложений для файлообмена повышает риск загрузки вредоносных программ.
Лучшая замена торрентам — работает на ПК и Android
Однако, изучив атаку, мы пришли к выводу, что заражение криптомайнером Dofoil не связано с загрузкой torrent-файлов. Ранее мы не наблюдали такую схему в других файлообменных приложениях. Процесс mediaget.exe всегда записывал образцы Dofoil в папку %TEMP% с именем my.dat. Наиболее часто источником заражения был файл %LOCALAPPDATA%MediaGet2mediaget.exe (SHA-1: 3e0ccd9fa0a5c40c2abb40ed6730556e3d36af3c).
Рекомендуемые материалы: статистические данные об атаке, полезные сведения и данные о реагировании Windows Defender см. в статье Срыв масштабной хакерской атаки на пользователей Windows в России.
Временная шкала осуществленной атаки
Всестороннее изучение атаки Dofoil, предпринятой 6 марта, показало, что это была тщательно спланированная кампания, которая готовилась злоумышленниками с середины февраля. Для осуществления задуманного злоумышленники сначала распространили вирус через обновление программы MediaGet, которую пользователи установили на свои компьютеры. Временная шкала ниже отображает основные события в рамках атаки Dofoil.
Рис. 1. Временная шкала атаки через MediaGet
Заражение обновления программы MediaGet
Процесс заражения обновления для MediaGet, которое в итоге привело к массовой атаке, описано в следующей схеме. Доверенное приложение mediaget.exe загружает исполняемый файл update.exe и запускает его на компьютере для установки нового экземпляра mediaget.exe. Новый экземпляр приложения mediaget.exe имеет все те же функции, что и подлинный, однако при этом в нем предусмотрена лазейка.
Рис. 2. Процедура заражения файла обновления
Вся процедура установки инфицированного файла обновления отслеживается сервисом Windows Defender ATP. Следующее дерево процессов показывает, как процесс mediaget.exe внедряет зараженный подписанный файл update.exe.
Рис. 3. Обнаружение вредоносного процесса обновления в Windows Defender ATP
Зараженный файл update.exe
Загруженный update.exe представляет собой пакетный файл InnoSetup SFX, в который встроен зараженный трояном файл mediaget.exe. При запуске этот исполняемый файл внедряет зараженную трояном неподписанную версию приложения mediaget.exe.
Рис. 4. Данные сертификата зараженного файла update.exe
Update.exe подписан сторонним разработчиком ПО, не связанным с MediaGet (вполне вероятно, что эта компания является жертвой злоумышленников). Исполняемый файл содержит код, подписанный другим сертификатом, задача которого — просто передать такое же требование о подтверждении подписи, как и в исходном файле mediaget.exe. Код обновления выполняет проверку данных сертификата, подтверждая, что он является действительным и подписан надлежащим образом. Если сертификат подписан, он проверяет, совпадает ли значение хэша со значением, полученным от хэш-сервера в инфраструктуре mediaget.com. На следующей иллюстрации показан фрагмент кода, который выполняет проверку действительных подписей для файла update.exe.
Рис. 5. Код обновления mediaget.exe
Зараженный трояном файл mediaget.exe
Зараженный трояном файл mediaget.exe, распознанный антивирусом Windows Defender AV как Trojan:Win32/Modimer.A, выполняет те же функции, что и исходный файл, однако он не подписан и имеет лазейку. Этот вредоносный двоичный код на 98 % совпадает с исходным двоичным кодом MediaGet. Согласно следующим данным PE, в исполняемом файле указаны другие данные PDB и иной путь файла.
Рис. 6. Сравнение путей PDB подписанного и зараженного трояном исполняемого файла
При запуске вредоносной программы создается список серверов управления и контроля (CC
Что касается встроенного списка CC происходит спустя один час после запуска программы.
Рис. 8. Таймер начала подключения к серверу CC. Программа использует протокол HTTP для обмена данными управления и контроля.
Рис. 9. Подключение к серверу CC через POST-запрос.
Рис. 10. Сведения о системе
Сервер CC.
Рис. 11. Команды управления и контроля
Одна из команд лазейки — RUN, которая получает URL-адрес из командной строки сервера CC. После этого программа внедряет и запускает файл my.dat (Dofoil), который в итоге ведет к компоненту CoinMiner.
Рис. 13. Dofoil, процесс загрузки и выполнения CoinMiner
Рис. 14. Дерево процессов системы оповещения Windows Defender ATP
В рамках атаки троян Dofoil использовался для доставки вредоносной программы CoinMiner, задача которой — использовать ресурсы компьютеров пользователей для майнинга криптовалют в пользу злоумышленников. Троян Dofoil при атаке использовал изощренные приемы внедрения вредоносного кода в адресное пространство процессов, механизмы обеспечения устойчивости и методы уклонения от обнаружения. Windows Defender ATP успешно обнаруживает такое поведение на всех этапах заражения.
Рис. 15. Обнаружение внедрения процесса Dofoil в Windows Defender ATP
MediaGet – это вирус или нет?
Известные антивирусные программы Avast и Kaspersky относят программу MediaGet к вирусам. Почему это случается и как позволить загрузчику нормально функционировать, вы узнаете из данной статьи.
Что такое MediaGet?
Приложение MediaGet вирус или нет? Данный вопрос появляется по причине того, что антивирусные приложения Avast и «Касперский» удаляют установочные файлы MediaGet, блокируют установку и активность данной программы чаще прочих.
МедиаГет не является опасным торрент-трекером. Загрузка через это приложение производится через открытие torrent-файлов и внутренний поиск. Подробно о MediaGet можно узнать на главной странице сайта.
- некоторые считают приложение безопасным, однако полагают, что ее разработчики причастны к созданию сети ботов;
- ряд пользователей считают, что это просто бесплатный клиент, в котором вы скачиваете контент через приложение, а не на трекерах.
Удалять МедиаГет следует, если установка произведена без вашего ведома. Такое может случиться, если вы загружаете устаревший установщик.
Они были созданы, когда торрент-трекер распространялся как нежелательный рекламный продукт. Пользователи забывали снять галку либо механически нажимали «Далее» при установке программы и получали спутники Mail.ru и Яндекс.Бар на свой ПК.
Почему антивирусы блокируют МедиаГет
Когда антивирусный поиск «Аваст» либо «Касперского» функционирует, он относит МедиаГет к опасным вирусам, троянам, и делает предупреждение «program mediaget 157». Число может быть другим: например, 94, 133, 142, 147.
По причине того, что антивирусами МедиаГет относится к угрозам, появляется проблема с установочными файлами, установка заканчивается неправильно либо не завершается совсем.
Если ваше антивирусное ПО блокирует работу приложения, следует добавить файлы программы в исключения. Как это сделать, узнаете далее.
Как добавить MediaGet в исключения антивируса
Приложение MediaGet добавляется в исключения «Аваст» в несколько действий. Это потребуется, если вы лишь планируете загрузить МедиаГет на свой ПК.
Если «Аваст» начинает блокировать МедиаГет либо блокирует иной исполняемый файл, следуйте руководству. Чтобы войти в меню антивирусника, в котором производится настройка пиложения, откройте главное окно «Аваста».
В правом верхнем углу нажмите «Меню», потом «Настройки».
Найдите и нажмите на «Исключения». В появившемся меню кликните «Обзор».
В «Проводнике» найдите папку с файлами приложения. Как правило, она находится здесь: «C: Пользователь «Имя пользователя» AppData Local MediaGet2».
Поставьте галку напротив папки, после этого кликните на «ОК».
После выбора папки вновь появятся настройки антивируса. Кликните «Добавить», нажмите «ОК».
Все, теперь торрент-трекер не будет определяться Авастом в качестве нежелательного программного обеспечения.
Руководство ниже позволит вам добавить MediaGet в исключения в «Касперском»:
- В левом нижнем углу главного окна «Касперского» кликните на шестеренку.
- Зайдите во вкладку «Дополнительно», откройте «Угрозы и исключения».
- Под пунктом «Исключения» нажмите на «Настроить исключения».
- В появившемся окне кликните «Добавить».
- Выйдет меню «Добавление нового исключения». Не меняйте параметры. Кликните «Обзор».
- В «Проводнике» найдите папку, в которой находится MediaGet. Кликните «Выбрать».
- В окне «Добавления новых исключений» нажмите «Добавить». Убедитесь, что путь к файлам вписан корректно.
Источник: soft-list.ru