GUI ценой приватности: разбор вредоносного форка Zapret 2 GUI

[alex1478]

Там, судя по коду, сама утилита написана нейронкой

[SystemSoft]

Вы опередили меня

[Worst_su]

Только что проверил срез за февраль
Ничего криминального там нет, всё делается через чекбоксы/запросы к пользователю
Что утилита нейрослоп, что авторские бредни
Продажа опенсурса это вопрос десятый, фактически они продают морду, весь код доступен в репозитории, лицензии это не нарушает

[Worst_su]

По поводу же "вредоносной активности"
Если бы автор изучил отчет "any.run", то он бы узнал, что вся "вредоносность" той древней версии заключается в байпасе политик powershell, скачивании оригинальных библиотек WinDivert-2.2.1 с gitea и скачивании + запуске всё с той же gitea дистрибутива самой софтины из релиза (который там всё ещё лежит)
https://gitea.com/censorliber/zapret/src/commit/50f5c6be36ba8bab8b1f389d00beb2e6ab45b22c/
https://gitea.com/censorliber/zapret/src/commit/50f5c6be36ba8bab8b1f389d00beb2e6ab45b22c/get.ps1
https://gitea.com/censorliber/zapret/releases/download/6.4.0/zapret6.4.0.zip

Очень надеюсь, что модерация Хабра снесет эти бредни в ближайшее время, ибо статья абсолютный поток псевдотехнической чепухи, а автор даже не смотрел дальше двух строк на файл

[Worst_su]

@moderator статья является полнейшим введением в заблуждение

[Worst_su]

да, я только сейчас нашел, как на хабре правильно давать отклик модерации, всё думал что просто где-то пропустил меню с кнопкой жалобы

[d3d12]

Действительно странное поведение - зачем ему отключать Defender?

[Worst_su]

Не знаю зачем, но это действие инициируется пользователем из морды

[a3d]

Товарищъ дорогой нейро-вирусоискатель. ;)
1. Заканчивайте доверять анализу кода через нейрослоп так уж усердно, помощь нейронок хорошо, но перекладывание 90% на них - это зло. Я бы сказал использовать нейронки в анализе уже теперь точно необходимо, но в балансе хотя бы 60/40, может 70/30. Человеческий мозг и умения надо тоже включать.
2. Вы видимо не видели настоящие трояны в zapret.zip, так их сотни, и тг каналов сотни с ними, и майнеры в них это самое безобидное. Вот такие и подобные гораздо умнее и серьёзнее стали за последний год: https://habr.com/ru/articles/868864/

[Worst_su]

Да, я уже чуть выше описал всю "вредоносную" составляющую

[a3d]

Угу, да в курсе конечно, с автором и утилитой знаком со времен когда гуи там было текстовым на повершел.

[Denius]

Прям знакомы? Тогда при случае передавайте ему благодарность за продукт. В ТГ я подписан и всячески при случае благодарю.

[a3d]

Ок, да он и тут есть, а вот уже прочитал ;)

[Denius]

Чего-то истерику раскрутили вокруг продукта. Видимо кому-то нужна. Я уже давно пользуюсь, и никаких проблем. И антивирус не отключал, хотя да, удивлён был, что автор призывал ему выключить и даже обосновывал это. Но автор много чего писал про разные лишние настройки Win раньше. Он так видит.

[ImagineTables]

Ищите подозрительные записи в «Доверенные корневые центры».

А как узнать, какие записи подозрительные? (Наверно, полезно туда просто для профилактики заглядывать).

[tdrz]

Есть утилита от Sysinternals, ей можно проверить наличие недоверенных сертификатов
sigcheck64.exe -tv *
sigcheck64.exe -tuv *

Потом найти эти сертификаты по отпечатку в certmgr.msc

Можно и сразу удалить через консоль, но иногда там бывает что-то важное, т.к. люди используют самоподписанные сертификаты для софта и драйверов.
certutil –delstore Root отпечаток

[ImagineTables]

sigcheck64.exe -tv *

А дальше? Вот первый сертификат из списка:

%PCNAME% это имя моего компьютера. Серийник и отпечаток я частично замазал, поскольку не знаю, насколько опасно их показывать из-под распахнутого плаща случайным прохожим в Интернете.

Особо подозрительным мне кажется, что он имеет статус Valid, хотя начало и конец срока действия датированы 2023-м годом. Кто его выписал, когда, с какой целью — бог весть. Как это узнать? И надо ли беспокоиться?

[QtRoS]

Последняя фраза - это приговор

Да, для этой статьи. Не перестаю задаваться вопросом, откуда модели унаследовали такой странный слог.