Столкнулся с тем, что многие антивирусы ругаются на Mediaget. Но подозреваю, что такими способом идет борьба антивирусных компаний с нелицензионным контентом. Что думаете по этому поводу?
в избранное
Юзерн ейм [2.4K]
5 лет назад
- Mediaget — не единственный торрент-клиент. И даже не самый популярный. Отчего же борются только с ним? Может всё-таки именно потому, что именно с ним не всё в порядке?
- Доктор Веб отвечал почему он блокирует Mediaget. Не за то, что через него можно качать нелицензионный контент. В первую очередь за нечистоплотные пути распространения. Т.е. за то, что он пытается обмануть внимание пользователя и поставиться ему на компьютер насильно. Ещё и принеся с собой гору хлама. Именно для того, чтобы неопытные пользователи не поставили Mediaget случайно (!), он и внесён в базы. Если вам он нужен — внесите его в исключения своего антивируса.
- Борьба с нелицензионным контентом — вообще не функция антивирусов. Их функция защищать своих пользователей от угроз. Если антивирусная компания вздумает портить пользователям жизнь, они просто уйдут к другой компании.
- Впрочем, это в данном конкретном случае будет непросто: основные антивирусы все дружно ругаются на Mediaget. И тут одно из двух: или потому что он это заслужил, или это всемирный заговор — тогда вам может помочь шапочка из фольги.
автор вопроса выбрал этот ответ лучшим
Что будет с компом если скачать прогу не с того сайта? Почему во всех пиpaтcкиx прогах есть вирусы?
Источник: www.bolshoyvopros.ru
Срыв масштабной хакерской атаки на пользователей Windows в России: часть 2
Совсем недавно мы предотвратили массовую атаку с применением трояна Dofoil, целью которой была установка вредоносного ПО для майнинга криптовалют на сотни тысяч компьютеров. С помощью поведенческого мониторинга, моделей машинного обучения и многоуровневой системы защиты антивирусная программа Windows Defender смогла эффективно выявить и заблокировать атаку в течение несколько миллисекунд.
Сегодня мы еще подробнее расскажем о самой атаке, путях заражения и поделимся временно́й шкалой. Заглядывайте под кат!
Сразу после обнаружения атаки мы смогли определить, откуда именно совершается огромное количество попыток установить вредоносное ПО. Как правило, троян Dofoil (также известный как Smoke Loader) распространяется самыми разными способами, включая спам-сообщения и наборы эксплойтов. Для атаки, которая началась 6 марта, использовалась другая схема: большинство вредоносных файлов создавалось процессом mediaget.exe.
Этот процесс относится к MediaGet, BitTorrent-клиенту, соответствующему классификации семейств потенциально нежелательных приложений. Пользователи часто используют приложение MediaGet для поиска и загрузки программ и мультимедийных файлов с сайтов с сомнительной репутацией. Использование таких приложений для файлообмена повышает риск загрузки вредоносных программ.
Вирус в Microsoft Office | Как заражают компы через Mediaget и как вылечить ПК
Однако, изучив атаку, мы пришли к выводу, что заражение криптомайнером Dofoil не связано с загрузкой torrent-файлов. Ранее мы не наблюдали такую схему в других файлообменных приложениях. Процесс mediaget.exe всегда записывал образцы Dofoil в папку %TEMP% с именем my.dat. Наиболее часто источником заражения был файл %LOCALAPPDATA%MediaGet2mediaget.exe (SHA-1: 3e0ccd9fa0a5c40c2abb40ed6730556e3d36af3c).
Рекомендуемые материалы: статистические данные об атаке, полезные сведения и данные о реагировании Windows Defender см. в статье Срыв масштабной хакерской атаки на пользователей Windows в России.
Временная шкала осуществленной атаки
Всестороннее изучение атаки Dofoil, предпринятой 6 марта, показало, что это была тщательно спланированная кампания, которая готовилась злоумышленниками с середины февраля. Для осуществления задуманного злоумышленники сначала распространили вирус через обновление программы MediaGet, которую пользователи установили на свои компьютеры. Временная шкала ниже отображает основные события в рамках атаки Dofoil.
Рис. 1. Временная шкала атаки через MediaGet
Заражение обновления программы MediaGet
Процесс заражения обновления для MediaGet, которое в итоге привело к массовой атаке, описано в следующей схеме. Доверенное приложение mediaget.exe загружает исполняемый файл update.exe и запускает его на компьютере для установки нового экземпляра mediaget.exe. Новый экземпляр приложения mediaget.exe имеет все те же функции, что и подлинный, однако при этом в нем предусмотрена лазейка.
Рис. 2. Процедура заражения файла обновления
Вся процедура установки инфицированного файла обновления отслеживается сервисом Windows Defender ATP. Следующее дерево процессов показывает, как процесс mediaget.exe внедряет зараженный подписанный файл update.exe.
Рис. 3. Обнаружение вредоносного процесса обновления в Windows Defender ATP
Зараженный файл update.exe
Загруженный update.exe представляет собой пакетный файл InnoSetup SFX, в который встроен зараженный трояном файл mediaget.exe. При запуске этот исполняемый файл внедряет зараженную трояном неподписанную версию приложения mediaget.exe.
Рис. 4. Данные сертификата зараженного файла update.exe
Update.exe подписан сторонним разработчиком ПО, не связанным с MediaGet (вполне вероятно, что эта компания является жертвой злоумышленников). Исполняемый файл содержит код, подписанный другим сертификатом, задача которого — просто передать такое же требование о подтверждении подписи, как и в исходном файле mediaget.exe. Код обновления выполняет проверку данных сертификата, подтверждая, что он является действительным и подписан надлежащим образом. Если сертификат подписан, он проверяет, совпадает ли значение хэша со значением, полученным от хэш-сервера в инфраструктуре mediaget.com. На следующей иллюстрации показан фрагмент кода, который выполняет проверку действительных подписей для файла update.exe.
Рис. 5. Код обновления mediaget.exe
Зараженный трояном файл mediaget.exe
Зараженный трояном файл mediaget.exe, распознанный антивирусом Windows Defender AV как Trojan:Win32/Modimer.A, выполняет те же функции, что и исходный файл, однако он не подписан и имеет лазейку. Этот вредоносный двоичный код на 98 % совпадает с исходным двоичным кодом MediaGet. Согласно следующим данным PE, в исполняемом файле указаны другие данные PDB и иной путь файла.
Рис. 6. Сравнение путей PDB подписанного и зараженного трояном исполняемого файла
При запуске вредоносной программы создается список серверов управления и контроля (CC
Что касается встроенного списка CC происходит спустя один час после запуска программы.
Рис. 8. Таймер начала подключения к серверу CC. Программа использует протокол HTTP для обмена данными управления и контроля.
Рис. 9. Подключение к серверу CC через POST-запрос.
Рис. 10. Сведения о системе
Сервер CC.
Рис. 11. Команды управления и контроля
Одна из команд лазейки — RUN, которая получает URL-адрес из командной строки сервера CC. После этого программа внедряет и запускает файл my.dat (Dofoil), который в итоге ведет к компоненту CoinMiner.
Рис. 13. Dofoil, процесс загрузки и выполнения CoinMiner
Рис. 14. Дерево процессов системы оповещения Windows Defender ATP
В рамках атаки троян Dofoil использовался для доставки вредоносной программы CoinMiner, задача которой — использовать ресурсы компьютеров пользователей для майнинга криптовалют в пользу злоумышленников. Троян Dofoil при атаке использовал изощренные приемы внедрения вредоносного кода в адресное пространство процессов, механизмы обеспечения устойчивости и методы уклонения от обнаружения. Windows Defender ATP успешно обнаруживает такое поведение на всех этапах заражения.
Рис. 15. Обнаружение внедрения процесса Dofoil в Windows Defender ATP
MediaGet — вирус или нет?
Многие из посетителей сайта mediaget-2.ru уже давно знакомы с программой «Медиа Гет», но когда их антивирус вдруг начинает блокировать установку или использование программы, возникает вопрос – MediaGet – это вирус или нет?
Разработчики не раз официально заявляли, что MediaGet не является вирусом и не содержит ничего вредоносного. Любители программы подтверждали это, приводя в доказательства свой многолетний опыт ее использования без каких-либо проблем.
Те антивирусы, которые блокируют Медиа Джет, считают программу не вирусом, а потенциально нежелательным ПО. Представители антивирусов говорят об этом что-то вроде этого: «Мы предупреждаем пользователей о том, что программа нежелательная, и, если пользователь понимает это, он может внести ее в исключения своего антивируса».
Более подробно почитать о том, почему некоторые антивирусы блокируют MediaGet и считают его потенциально нежелательной программой, можно почитать здесь.
Комментарии загружаются.
- MediaGet для Windows
- MediaGet для Mac OS
- MediaGet для Android
- Как установить MediaGet
- Как пользоваться MediaGet
- Как ускорить MediaGet
- Все инструкции
Сообщите о проблеме с загрузкой ×
Если возникли проблемы с загрузкой (ссылка не работает), нажмите на кнопку ниже. Спасибо за Вашу помощь!
Блокирует антивирус? ×
Некоторые антивирусы блокируют MediaGet, хотя в нем нет вирусов. Почему это происходит можно прочитать здесь.
Что делать? Самым быстрым решением будет добавить MediaGet в исключения вашего антивируса. Мы подготовили инструкции к самым популярным из них:
Остались вопросы? Задайте их в комментариях .
Источник: mediaget-2.ru