Бэкдор в Win 10 Tweaker, или современные методы борьбы с пиратством
Перепечатка статьи с Хабра (вернее с ее копии), которая была удалена, где освещалась проблема того, что Win 10 Tweaker с осени 2020 года был, оказывается, интегрирован самый обычный бэкдор с возможностью исполнения зловредного кода, выполняющегося от имени администратора. Ресурс с которого скачивался зловредный код в открытом виде располагался на https://win10tweaker.com/PrivilegeUser.php?key=Universal. Но автор уже закрыл доступ к нему и с выходом версии 17.3 beta "согласился" якобы удалить функционал бэкдора.
Но интернет всё помнит
https://web.archive.org/web/20210426181446/https://win10twea...
• Скачиваем с сайта последнюю версию программы. Сейчас скачивается версия 17.2, SHA-256: 06DB5801D37895C75B7D60FA5971827DA80CC275D9E78E5986A120C003021A0D;
• Выяснилось, что, чтобы вызвать скачивание удаленного кода, надо просто создать в %LOCALAPPDATA% папку Turbo.net, а внутри — просто пустой файл System.Deps.dll;
• Запускаем Win 10 Tweaker и принимаем правой кнопкой соглашение;
• Хватит лишь открытия раздела "Системная информация", где можно получить сведения о характеристиках ПК;
• Сразу с ресурса, указанного выше, через бэкдор в открытом виде скачивается и исполняется код, написанный на C#, который прописывает в реестре в раздел автозагрузки для всех пользователей ключи на удаление первых 50 установленных программ. При первом выходе/входе из учетной записи или перезагрузке эти программы запустят свои деинсталляторы.
Пикабу не позволяет вставлять код в статью, поэтому ссылку на зловредный код разместил на pastebin:
Разберем по-быстрому код.
• Берется путь профиля и присобачивается к нему "\\AppData\\Local\\Turbo.net";
• Если имеется папка Turbo.net, то по маске *.* рекурсивно ищется файл System.Deps.dll;
• Если такой на вашу беду находится, то получаем значения ключей UninstallString в разделе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall. В этом параметре хранится команда для деинсталляции программ. Собственно, именно эта команда запускается, когда вы удаляете в Windows любую программу, если ее деинсталлятор прописывается в системе.
• Сохраняем полученные строки и записываем первые 50 команд на удаление в автозагрузку для всех пользователей. Отныне при первой перезагрузке запустят свои деинсталляторы те программы, у которых есть свойство UninstallString.
Сохраненная ссылка на Wayback Machine, если "чудотворным" образом ресурс будет недоступен. Кстати, тот же зловредный код расположен и на домене https://win10tweaker.ru/PrivilegeUser.php?key=Universal.
Скажите спасибо, что не в тихом режиме все удаляется, и окошки с уведомлением об удалении будут видны в любом случае.
Осенью же на этом ресурсе располагался другой код, устанавливающий пароль на учетную запись. Пароль, как нетрудно догадаться, глядя на код, был Rock5taR. То есть ресурс один, а зловредный код иногда да и меняется.
Автор сам признал, что у программы была незадокументированная возможность, Соглашение, принимаемое перед использованием программы, позволяет ему делать, что угодно.
Автор заявляет о портативности программы, что на самом деле не так: чего только стоит создание неудаляемого ключа в реестре по пути HKCU\Software\Win 10 Tweaker, так как программа меняет права доступа на этот раздел.
Видео с одним из вариантов, как удалить ключ.
Уже после опубликования статьи другой пользователь доказал на видео, что, получи злоумышленники доступ к ресурсу, где размещался зловредный код, и можно было осуществить перенаправление трафика уже на их ресурс с другим зловредным кодом
Остается тайной, зачем автор в борьбе с пиратами, беря за программу в том числе и плату, интегрировал туда самый обычный бэкдор. И кто знает, что еще она в себе таит… Выводы, как всегда, делать только вам.
Разработчик трояна считает, что всё сделал правильно, мы все убоги и, оказывается, завидуем его успеху, а этот "инцидент" — жирный намек.
Kaspersky уже детектит версию 17.2 как бэкдор.
Хауди Хо, который когда-то рекламировал Win 10 Tweaker уже скрыл своё видео, написав пост в группе в Telegram. После выпустил ролик с призывом не пользоваться этим трояном, но после угроз от Хачатура (автора трояна) скрыл кусок уже опубликованного ролика.
Стас "Ай, как просто" тоже выпустил ролик, где извиняется перед аудиторией, что когда-то тоже рекламировал этот троян (с привязкой ко времени). Но Хачатур уже готовит иск к нему.
И напоследок мякотка: обсуждение на форуме трояна ролика Стаса Ай, как просто: https://win10tweaker.pro/forum/topic/опять-клевета
На его форуме вообще тоталитарная секта. И особенно доставляет, как автор Win 10 Tweaker пишет "я" и "мне" в середине предложения с большой буквы. xD