Обнаружен вирус not-a-virus:Downloader.Win32.MediaGet.ejq (заявка № 146837)
Junior Member Регистрация 24.08.2013 Сообщений 42 Вес репутации 40
Обнаружен вирус not-a-virus:Downloader.Win32.MediaGet.ejq
При проверке компьютера Kaspersky Rescue Disk 10.0 обнаружил вирус not-a-virusownloader.Win32.MediaGet.ejq. Также на диске C: не открываются две папки-появляется окно с предупреждением оказано в доступе. А также не могу зайти в почту, потому что браузер Mozilla Firefox выдает:Это соединение является недоверенным.
Вы попросили Firefox установить защищённое соединение с mail.yandex.ru, но мы не можем гарантировать, что это соединение является защищённым.
Обычно, когда вы пытаетесь установить защищённое соединение, сайты предъявляют проверенный идентификатор, служащий доказательством того, что вы направляетесь в нужное место. Однако идентификатор этого сайта не может быть проверен. mail.yandex.ru использует недействительный сертификат безопасности. Сертификат действителен только для следующих имён: xiva-daria.mail.yandex.net , xiva-daria-v6.mail.yandex.net (Код ошибки: ssl_error_bad_cert_domain) Помогите.
Будь в курсе! Будь в курсе!
MediaGet и антивирусы
Если вы читаете эту страницу, то скорее всего вы знаете о том, что некоторые антивирусы определяют MediaGet как потенциально нежелательную программу (или PUA). В данной статье мы решили выложить комментарии антивирусных компаний касательно MediaGet, чтобы прояснить некоторые особенности данного детекта.
Итак, почему же MediaGet детектируется антивирусами и что означает фраза «Потенциально нежелательная программа» (PUA)?
На странице антивируса ESET мы видим, что PUA — это довольно широкая категория программного обеспечения, задачей которого не является однозначно вредоносная деятельность. Такие приложения могут устанавливать дополнительное нежелательное программное обеспечение, изменять поведение цифрового устройства, а также выполнять действия без запроса или разрешения пользователя. . К потенциально нежелательным приложениям могут относиться следующие категории приложений: программы для показа рекламы, оболочки загрузок…
Таким образом, множество программ, которые не несут реальной угрозы попадают под данную формулировку. Например, за счет того, что они показывают внутри себя рекламу или могут скачивать файлы, что как раз и делает MediaGet.
Некоторое время назад мы получили следующие комментарии АВ Касперского о причинах блокировки MediaGet:
Продукты АО Лаборатории Касперского относят MediaGet к одной из категорий легального программного обеспечения и не считают файлы вредоносными. Нотификации, выдаваемые конечному пользователю, носят информационный характер и являются корректными.
Причин добавления такой категории несколько:
- Во-первых, MediaGet сам по себе является загрузчиком. Как это и указано в сообщениях продукта not-a-virus:Downloader.*
- Файлы с инсталляторами MediaGet носят название игр, фильмов, книг и прочего, что в дальнейшем должно быть загружено. Однако, отображаемая после установки плеера загрузка не всегда соответствует имени файла, полученного с файлообменника.
- Предложения дополнительного софта при установке плеера выполнены в не самом очевидном формате. Многие пользователи могут не заметить, что галочки на самом деле можно убрать.
- Дополнительные параметры скрыты от пользователя, по умолчанию все они активны.
Давайте подробно рассмотрим каждой из этих пунктов:
- Скачивание через MediaGet
Чтобы упростить процесс скачивания файлов, мы разработали схему, которая позволяет пользователям быстро скачивать файлы с помощью нашего клиента. Поскольку торрент-файлы требуют отдельного загрузчика и не могут скачиваться напрямую, то пользователь получает сначала MediaGet, через который уже скачивается необходимый файл.
На многих сайтах присутствует блок, в котором предлагается «Скачать файл с помощью MediaGet». После клика по ссылке скачивается установщик MediaGet, который называется так же, как файл, который хочет скачать пользователь. После его запуска появляется окно установщика MediaGet, где будет написано, какой файл будет скачиваться после завершения установки. Это помогает избежать путаницы в скачанных файлах. Однако не на всех сайтах есть возможность встроить искомый файл в установщик. На таких сайтах передается поисковый запрос и при установке отображается, что после ее окончания будет произведен поиск файла. Мы постоянно совершенствуем функцию поиска и подключаем новые открытые ресурсы, чтобы Вы всегда могли найти и скачать необходимый файл.
Данная схема распространения является причиной детектирования, поскольку считается, что пользователя не в полной мере информируют о том, что будет скачано.
Здесь приводим еще один комментарий АВ Касперского по данному пункту:
Также хотелось бы отметить, что решение о классификации конкретного ПО принимается не только на основе самого файла — мы учитываем и схему его распространения. Если пользователя не в полной мере информируют о том, что будет скачано (например, пользователь думает, что скачивает фильм, а вместо него получает менеджер загрузок), то мы считаем необходимым классифицировать такое ПО как not-a-virus:Downloader и предупредить пользователя, что он скачивает загрузчик. Загрузка файла и его запуск при этом никак не блокируются.
Мы не скрываем, что это работает таким образом и сделано по большей части для удобства простых пользователей, которые не понимают всех особенностей работы с торрентами, и просто хотят получить необходимый файл.
- Установка дополнительных программ вместе с MediaGet
Мы считаем, что программное обеспечение должно быть бесплатным, поэтому пользователю при установке MediaGet предлагается установить дополнительное ПО. Пользователь может легко от него отказаться, просто сняв галочку. Однако, устанавливая программы партнеров, Вы помогаете MediaGet оставаться бесплатным.
Наша цель – облегчить скачивание файлов и уберечь пользователей от сомнительных архивов, которые распаковываются за смс и не содержат ничего полезного. MediaGet всегда будет бесплатным. Сохраняйте бдительность и не попадайтесь на уловки мошенников.
- Дополнительные параметры
Следующей причиной детектирования являются параметры продвинутых настроек при установке, например, настройки firewall. Ниже приводим нашу переписку с АВ Касперского где мы объясняем почему данные настройки вынесены на отдельное окно и включены по умолчанию.
Kaspersky: Дополнительные параметры скрыты от пользователя, по умолчанию все они активны
MediaGet: Дополнительные параметры на наш взгляд являются некритичными в нашем ПО и если их все показать, то это сломает концепцию UX по разделению опытных юзеров и новичков. По умолчанию они все включены, чтобы у неопытных пользователей было меньше проблем с использованием программы.
Kaspersky: Спасибо за объяснения про концепцию UX, Ваш замысел нам понятен. Однако, такие опции, как запуск при старте Windows и добавление в исключения Firewall стоит убрать из изначально скрытых опций. Даже с учетом существования некоторых неопытных пользователей нужно спрашивать про такие вещи более явно.
Таким образом, можно подвести итог тем, что MediaGet не несет реальной угрозы пользователю и детектируется как PUA только из-за формальных ограничений накладываемых производителями антивирусов.
Мы постоянно пытаемся найти контакт с антивирусами, но далеко не все они должным образом общаются с разработчиками. Естественно, предупреждение антивирусов об опасности вызывает вопросы у наших пользователей, поэтому мы и решили написать эту статью, где подробно рассказали о ситуации с детектами.
Как итог, можно сказать, что ложные срабатывания или PUA-детекты — это обычное явление, с которым сталкиваются многие разработчики. Как пример, другое известное приложение для скачивания торрентов точно также имеет множество детектов: https://www.virustotal.com/gui/file/c68ad8401cdb9b836c248edc791bd2904ca9eb2cfced1f7483ae44b5b9e914fe
Избавиться от ложных срабатываний антивируса и проблем при установке нашей программы очень просто. Все, что вам необходимо сделать, это добавить MediaGet в список исключений вашего антивируса. Если вы не можете сделать это самостоятельно, пожалуйста, напишите нам или воспользуйтесь инструкцией ниже.
На данный момент доступны инструкции для следующих антивирусов: Avast Free Antivirus, Dr. Web, Eset Nod32, Kaspersky Internet Security, Windows Defender. Если инструкции для вашего антивируса нет, сообщите об этом нам, чтобы мы разместили её.
Спасибо, что остаетесь с нами!
что это такое модифицированный Win32/MediaGet потенциально нежелательная программа
Это ложное срабатывание антивируса на торрент-клиент Медиагет.
Также прошу заметить, что потенциально нежелательная программа — это не вирус. Некотрые антивирусы так «обзывают» некотрые торрент-клиенты и другие программы файлообмена. Именно из-за их предназначения — обмена файлами между пользователями.
Остальные ответы
Ну, нельзя сказать что это вирус. Программа класная можно сразу смотреть то что качаете но блин не понимаю почему везде говорят что это вирус а вот тут вообще написано что одно время Яндекс говорил чтобы сайт с этой программой не посещать вот можете тут сами посмотреть (там еще сказано как удалить mediaget!):
Мое мнение что может программа раньше не совсем честно распространялась и поэтому теперь многие думают что это какое-то вредоносное ПО?
Срыв масштабной хакерской атаки на пользователей Windows в России: часть 2
Совсем недавно мы предотвратили массовую атаку с применением трояна Dofoil, целью которой была установка вредоносного ПО для майнинга криптовалют на сотни тысяч компьютеров. С помощью поведенческого мониторинга, моделей машинного обучения и многоуровневой системы защиты антивирусная программа Windows Defender смогла эффективно выявить и заблокировать атаку в течение несколько миллисекунд.
Сегодня мы еще подробнее расскажем о самой атаке, путях заражения и поделимся временно́й шкалой. Заглядывайте под кат!
Сразу после обнаружения атаки мы смогли определить, откуда именно совершается огромное количество попыток установить вредоносное ПО. Как правило, троян Dofoil (также известный как Smoke Loader) распространяется самыми разными способами, включая спам-сообщения и наборы эксплойтов. Для атаки, которая началась 6 марта, использовалась другая схема: большинство вредоносных файлов создавалось процессом mediaget.exe.
Этот процесс относится к MediaGet, BitTorrent-клиенту, соответствующему классификации семейств потенциально нежелательных приложений. Пользователи часто используют приложение MediaGet для поиска и загрузки программ и мультимедийных файлов с сайтов с сомнительной репутацией. Использование таких приложений для файлообмена повышает риск загрузки вредоносных программ.
Однако, изучив атаку, мы пришли к выводу, что заражение криптомайнером Dofoil не связано с загрузкой torrent-файлов. Ранее мы не наблюдали такую схему в других файлообменных приложениях. Процесс mediaget.exe всегда записывал образцы Dofoil в папку %TEMP% с именем my.dat. Наиболее часто источником заражения был файл %LOCALAPPDATA%\MediaGet2\mediaget.exe (SHA-1: 3e0ccd9fa0a5c40c2abb40ed6730556e3d36af3c).
Рекомендуемые материалы: статистические данные об атаке, полезные сведения и данные о реагировании Windows Defender см. в статье Срыв масштабной хакерской атаки на пользователей Windows в России.
Временная шкала осуществленной атаки
Всестороннее изучение атаки Dofoil, предпринятой 6 марта, показало, что это была тщательно спланированная кампания, которая готовилась злоумышленниками с середины февраля. Для осуществления задуманного злоумышленники сначала распространили вирус через обновление программы MediaGet, которую пользователи установили на свои компьютеры. Временная шкала ниже отображает основные события в рамках атаки Dofoil.
Рис. 1. Временная шкала атаки через MediaGet
Заражение обновления программы MediaGet
Процесс заражения обновления для MediaGet, которое в итоге привело к массовой атаке, описано в следующей схеме. Доверенное приложение mediaget.exe загружает исполняемый файл update.exe и запускает его на компьютере для установки нового экземпляра mediaget.exe. Новый экземпляр приложения mediaget.exe имеет все те же функции, что и подлинный, однако при этом в нем предусмотрена лазейка.
Рис. 2. Процедура заражения файла обновления
Вся процедура установки инфицированного файла обновления отслеживается сервисом Windows Defender ATP. Следующее дерево процессов показывает, как процесс mediaget.exe внедряет зараженный подписанный файл update.exe.
Рис. 3. Обнаружение вредоносного процесса обновления в Windows Defender ATP
Зараженный файл update.exe
Загруженный update.exe представляет собой пакетный файл InnoSetup SFX, в который встроен зараженный трояном файл mediaget.exe. При запуске этот исполняемый файл внедряет зараженную трояном неподписанную версию приложения mediaget.exe.
Рис. 4. Данные сертификата зараженного файла update.exe
Update.exe подписан сторонним разработчиком ПО, не связанным с MediaGet (вполне вероятно, что эта компания является жертвой злоумышленников). Исполняемый файл содержит код, подписанный другим сертификатом, задача которого — просто передать такое же требование о подтверждении подписи, как и в исходном файле mediaget.exe. Код обновления выполняет проверку данных сертификата, подтверждая, что он является действительным и подписан надлежащим образом. Если сертификат подписан, он проверяет, совпадает ли значение хэша со значением, полученным от хэш-сервера в инфраструктуре mediaget.com. На следующей иллюстрации показан фрагмент кода, который выполняет проверку действительных подписей для файла update.exe.
Рис. 5. Код обновления mediaget.exe
Зараженный трояном файл mediaget.exe
Зараженный трояном файл mediaget.exe, распознанный антивирусом Windows Defender AV как Trojan:Win32/Modimer.A, выполняет те же функции, что и исходный файл, однако он не подписан и имеет лазейку. Этот вредоносный двоичный код на 98 % совпадает с исходным двоичным кодом MediaGet. Согласно следующим данным PE, в исполняемом файле указаны другие данные PDB и иной путь файла.
Рис. 6. Сравнение путей PDB подписанного и зараженного трояном исполняемого файла
При запуске вредоносной программы создается список серверов управления и контроля (C&C).
Рис. 7. Список серверов C&C
Что касается встроенного списка C&C, важно отметить, что домен верхнего уровня .bit не является доменом, утвержденным ICANN, и поддерживается инфраструктурой NameCoin. NameCoin представляет собой распределенную систему альтернативных корневых серверов DNS, в которой реализован принцип блокчейн-моделей. Эта система предоставляет анонимные домены. Поскольку доменные имена .bit не разрешаются стандартными DNS-серверами, вредоносное ПО встраивает список из 71 адресов IPv4, которые используются как DNS-серверы NameCoin.
Затем вредоносная программа использует серверы NameCoin для DNS-поиска по доменам .bit. С этого момента данные имена помещаются в DNS-кэш компьютера и все операции поиска в будущем разрешаются без указания DNS-серверов NameCoin.
Первое обращение к серверу C&C происходит спустя один час после запуска программы.
Рис. 8. Таймер начала подключения к серверу C&C
Вредоносная программа выбирает один из четырех серверов C&C. Программа использует протокол HTTP для обмена данными управления и контроля.
Рис. 9. Подключение к серверу C&C
Код лазейки собирает сведения о системе и отправляет их на сервер C&C через POST-запрос.
Рис. 10. Сведения о системе
Сервер C&C возвращает на клиент различные команды. Следующий ответ содержит команды HASH, IDLE и OK. Команда IDLE задает ожидание процесса в течение определенного периода (в секундах, например — 7200 секунд = 2 часа) до повторного обращения к серверу C&C.
Рис. 11. Команды управления и контроля
Одна из команд лазейки — RUN, которая получает URL-адрес из командной строки сервера C&C. Затем вредоносное ПО загружает файл с URL-адреса, сохраняет его в папку %TEMP%\my.dat и запускает его.
Рис. 12. Код обработки команды RUN
Эта команда RUN использовалась для распространения трояна Dofoil, начиная с 1 марта, и в рамках атаки, предпринятой 6 марта. Дерево процессов оповещения Windows Defender ATP демонстрирует обмен данными между вредоносным процессом mediaget.exe и goshan.online, одним из подтвержденных серверов C&C. После этого программа внедряет и запускает файл my.dat (Dofoil), который в итоге ведет к компоненту CoinMiner.
Рис. 13. Dofoil, процесс загрузки и выполнения CoinMiner
Рис. 14. Дерево процессов системы оповещения Windows Defender ATP
В рамках атаки троян Dofoil использовался для доставки вредоносной программы CoinMiner, задача которой — использовать ресурсы компьютеров пользователей для майнинга криптовалют в пользу злоумышленников. Троян Dofoil при атаке использовал изощренные приемы внедрения вредоносного кода в адресное пространство процессов, механизмы обеспечения устойчивости и методы уклонения от обнаружения. Windows Defender ATP успешно обнаруживает такое поведение на всех этапах заражения.
Рис. 15. Обнаружение внедрения процесса Dofoil в Windows Defender ATP
Мы сообщили о результатах наших исследований разработчикам MediaGet, чтобы помочь им грамотно проанализировать инцидент.
Мы также рассказали владельцам сертификата о том, как их сертификат подписи кода используется злоумышленниками в файле update.exe (отпечаток: 5022EFCA9E0A9022AB0CA6031A78F66528848568).
Защита от вирусных атак в режиме реального времени
Тщательно спланированная и заранее подготовленная кампания с применением Dofoil, обнаруженная 6 марта, представляет собой яркий пример многоуровневой вирусной кибератаки, которые сегодня происходят все чаще. При совершении типовых киберпреступлений теперь используются все более сложные приемы, которые ранее ассоциировались с более изощренными кибератаками. Windows Defender Advanced Threat Protection (Windows Defender ATP) предоставляет расширенный набор инструментов безопасности нового поколения, которые обеспечивают защиту клиентов в реальном времени от самых разных видов атак.
Корпоративные клиенты, использующие антивирус Windows Defender AV, активировавшие функцию защиты от потенциально ненадежных приложений, были защищены от ПО MediaGet, зараженного трояном, которое оказалось источником вирусной атаки 6 марта.
Windows Defender AV обеспечил надежную защиту клиентов от атак с применением Dofoil. Технологии поведенческого мониторинга и анализа выявили необычный механизм стойкости Dofoil и сразу же отправили соответствующий сигнал в облачную службу защиты, где многочисленные модели машинного обучения мгновенно блокировали большинство обнаруженных угроз при их появлении.
Всесторонний анализ атаки также показал, что расширенные библиотеки обнаружения в Windows Defender ATP помечали вредоносное поведение Dofoil на всех этапах заражения. К вредоносному поведению можно отнести внедрение кода, методы защиты от обнаружения и внедрение компонентов для майнинга криптовалют. Специалисты по безопасности могут использовать платформу Windows Defender ATP для обнаружения атак и эффективного реагирования на них. Windows Defender ATP также предоставляет встроенные инструменты защиты Windows Defender AV, Windows Defender Exploit Guard и Windows Defender Application Guard, обеспечивая безупречное управление системой безопасности на всех уровнях.
Индикаторы компрометации (IOCs)
Имя файла | SHA-1 | Описание | Подписывающая сторона | Дата подписания | Имя обнаруженной вредоносной программы |
---|---|---|---|---|---|
mediaget.exe | 1038d32974969a1cc7a79c3fc7b7a5ab8d14fd3e | Официальный исполняемый файл mediaget.exe | GLOBAL MICROTRADING PTE. LTD. | 2:04 PM 10/27/2017 | PUA:Win32/MediaGet |
mediaget.exe | 4f31a397a0f2d8ba25fdfd76e0dfc6a0b30dabd5 | Официальный исполняемый файл mediaget.exe | GLOBAL MICROTRADING PTE. LTD. | 4:24 PM 10/18/2017 | PUA:Win32/MediaGet |
update.exe | 513a1624b47a4bca15f2f32457153482bedda640 | Зараженный трояном исполняемый файл обновления | DEVELTEC SERVICES SA DE CV | – | Trojan:Win32/Modimer.A |
mediaget.exe | 3e0ccd9fa0a5c40c2abb40ed6730556e3d36af3c, fda5e9b9ce28f62475054516d0a9f5a799629ba8 |
Зараженный трояном исполняемый файл mediaget.exe | Не подписан | – | Trojan:Win32/Modimer.A |
my.dat | d84d6ec10694f76c56f6b7367ab56ea1f743d284 | Внедренный вредоносный исполняемый файл | – | – | TrojanDownloader:Win32/Dofoil.AB |
wuauclt.exe | 88eba5d205d85c39ced484a3aa7241302fd815e3 | Внедренная программа CoinMiner | – | – | Trojan:Win32/CoinMiner.D |
- Windows
- Windows Defender
- Dofoil
- информационная безопасность
- уязвимости
- кибератаки