Win32 mediaget что это
MediaGet – это вирус или нет?
Популярные защитники компьютеров от вирусов Avast и Kaspersky считают, что MediaGet – вирус. Почему так происходит и как дать торрент-клиенту полноценно работать, рассказывается в статье.
Что такое MediaGet
Вирус программа MediaGet или нет? Этот вопрос возникает потому, что антивирусы Avast и «Касперский» удаляют установщики MediaGet, блокируют установку и сетевую активность приложения чаще других.
МедиаГет – это не вредоносный торрент-трекер. Скачивание через него возможно посредством открытия torrent-файлов и встроенного поиска. Подробнее о MediaGet читайте на главной странице сайта.
Внимание! Удалять МедиаГет стоит, если установка произошла без ведома пользователя. Такое возможно, если вы качаете устаревшие установочные файлы.
Они были созданы в то время, когда торрент-трекер распространялся как нежелательная рекламная программа. Пользователь забывал убирать галочку или быстро нажимал «Далее» во время установки приложения и получил спутники Mail.ru, Яндекс.Бар на компьютер.
Почему антивирусы блокируют МедиаГет
Когда антивирусный поиск «Аваст» или «Касперского» работает, он определяет МедиаГет как нежелательный вирус, троян, и выводит предупреждение «program mediaget 157». Число может изменяться. Сейчас известны такие варианты: 94, 133, 142, 147.
Из-за того, что защитным ПО клиент МедиаГет расценивается как угроза, возникает проблема с файлами установщика, установка завершается некорректно или не кончается вовсе.
Если «Аваст» или другой антивирус блокирует МедиаГет, нужно внести файлы загрузчика торрентов в исключения. Как это сделать, написано ниже.
Как добавить MediaGet в исключения антивируса
Программа MediaGet добавляется в исключения «Аваст» в несколько шагов. Это понадобится, если вы только собираетесь скачать МедиаГет на компьютер.
Если антивирус «Аваст» начинает блокировать МедиаГет или блокирует другой исполняемый файл, следуйте инструкции. Чтобы попасть в меню антивируса, в котором происходит настройка программы, откройте главное окно «Аваста».
В «Проводнике» найдите папку с файлами программы. Обычно она располагается тут: «C:\ Пользователь\ «Имя пользователя»\ AppData\ Local\ MediaGet2».
Поставьте галочку напротив папки, затем нажмите кнопку «ОК».
После выбора папки снова откроются настройки антивируса. Нажмите «Добавить», кликните «ОК».
Готово, торрент-трекер не будет подвергаться нападкам со стороны защитного программного обеспечения компании Avast.
Инструкция ниже помогает добавить MediaGet как исключение в «Касперском»:
Видео: Как добавить любую папку в исключения антивируса Kaspersky.
Немного по теме вопроса
Защитное ПО реагирует на МедиаГет блокировкой, потому что метод распространения программы в прошлом был неприемлемым для пользователей. Инструкции для Avast и Kaspersky актуальны для других отмечающих MediaGet угрозой антивирусов. Напишите в комментариях, каким сейчас номером вируса считает ваш антивирус программу Медиагет.
Срыв масштабной хакерской атаки на пользователей Windows в России: часть 2
Совсем недавно мы предотвратили массовую атаку с применением трояна Dofoil, целью которой была установка вредоносного ПО для майнинга криптовалют на сотни тысяч компьютеров. С помощью поведенческого мониторинга, моделей машинного обучения и многоуровневой системы защиты антивирусная программа Windows Defender смогла эффективно выявить и заблокировать атаку в течение несколько миллисекунд.
Сегодня мы еще подробнее расскажем о самой атаке, путях заражения и поделимся временно́й шкалой. Заглядывайте под кат!
Сразу после обнаружения атаки мы смогли определить, откуда именно совершается огромное количество попыток установить вредоносное ПО. Как правило, троян Dofoil (также известный как Smoke Loader) распространяется самыми разными способами, включая спам-сообщения и наборы эксплойтов. Для атаки, которая началась 6 марта, использовалась другая схема: большинство вредоносных файлов создавалось процессом mediaget.exe.
Этот процесс относится к MediaGet, BitTorrent-клиенту, соответствующему классификации семейств потенциально нежелательных приложений. Пользователи часто используют приложение MediaGet для поиска и загрузки программ и мультимедийных файлов с сайтов с сомнительной репутацией. Использование таких приложений для файлообмена повышает риск загрузки вредоносных программ.
Однако, изучив атаку, мы пришли к выводу, что заражение криптомайнером Dofoil не связано с загрузкой torrent-файлов. Ранее мы не наблюдали такую схему в других файлообменных приложениях. Процесс mediaget.exe всегда записывал образцы Dofoil в папку %TEMP% с именем my.dat. Наиболее часто источником заражения был файл %LOCALAPPDATA%\MediaGet2\mediaget.exe (SHA-1: 3e0ccd9fa0a5c40c2abb40ed6730556e3d36af3c).
Рекомендуемые материалы: статистические данные об атаке, полезные сведения и данные о реагировании Windows Defender см. в статье Срыв масштабной хакерской атаки на пользователей Windows в России.
Временная шкала осуществленной атаки
Всестороннее изучение атаки Dofoil, предпринятой 6 марта, показало, что это была тщательно спланированная кампания, которая готовилась злоумышленниками с середины февраля. Для осуществления задуманного злоумышленники сначала распространили вирус через обновление программы MediaGet, которую пользователи установили на свои компьютеры. Временная шкала ниже отображает основные события в рамках атаки Dofoil.
Рис. 1. Временная шкала атаки через MediaGet
Заражение обновления программы MediaGet
Процесс заражения обновления для MediaGet, которое в итоге привело к массовой атаке, описано в следующей схеме. Доверенное приложение mediaget.exe загружает исполняемый файл update.exe и запускает его на компьютере для установки нового экземпляра mediaget.exe. Новый экземпляр приложения mediaget.exe имеет все те же функции, что и подлинный, однако при этом в нем предусмотрена лазейка.
Рис. 2. Процедура заражения файла обновления
Вся процедура установки инфицированного файла обновления отслеживается сервисом Windows Defender ATP. Следующее дерево процессов показывает, как процесс mediaget.exe внедряет зараженный подписанный файл update.exe.
Рис. 3. Обнаружение вредоносного процесса обновления в Windows Defender ATP
Зараженный файл update.exe
Загруженный update.exe представляет собой пакетный файл InnoSetup SFX, в который встроен зараженный трояном файл mediaget.exe. При запуске этот исполняемый файл внедряет зараженную трояном неподписанную версию приложения mediaget.exe.
Рис. 4. Данные сертификата зараженного файла update.exe
Update.exe подписан сторонним разработчиком ПО, не связанным с MediaGet (вполне вероятно, что эта компания является жертвой злоумышленников). Исполняемый файл содержит код, подписанный другим сертификатом, задача которого — просто передать такое же требование о подтверждении подписи, как и в исходном файле mediaget.exe. Код обновления выполняет проверку данных сертификата, подтверждая, что он является действительным и подписан надлежащим образом. Если сертификат подписан, он проверяет, совпадает ли значение хэша со значением, полученным от хэш-сервера в инфраструктуре mediaget.com. На следующей иллюстрации показан фрагмент кода, который выполняет проверку действительных подписей для файла update.exe.
Рис. 5. Код обновления mediaget.exe
Зараженный трояном файл mediaget.exe
Зараженный трояном файл mediaget.exe, распознанный антивирусом Windows Defender AV как Trojan:Win32/Modimer.A, выполняет те же функции, что и исходный файл, однако он не подписан и имеет лазейку. Этот вредоносный двоичный код на 98 % совпадает с исходным двоичным кодом MediaGet. Согласно следующим данным PE, в исполняемом файле указаны другие данные PDB и иной путь файла.
Рис. 6. Сравнение путей PDB подписанного и зараженного трояном исполняемого файла
При запуске вредоносной программы создается список серверов управления и контроля (C&C).
Рис. 7. Список серверов C&C
Первое обращение к серверу C&C происходит спустя один час после запуска программы.
Рис. 8. Таймер начала подключения к серверу C&C
Вредоносная программа выбирает один из четырех серверов C&C. Программа использует протокол HTTP для обмена данными управления и контроля.
Рис. 9. Подключение к серверу C&C
Код лазейки собирает сведения о системе и отправляет их на сервер C&C через POST-запрос.
Рис. 10. Сведения о системе
Сервер C&C возвращает на клиент различные команды. Следующий ответ содержит команды HASH, IDLE и OK. Команда IDLE задает ожидание процесса в течение определенного периода (в секундах, например — 7200 секунд = 2 часа) до повторного обращения к серверу C&C.
Рис. 11. Команды управления и контроля
Одна из команд лазейки — RUN, которая получает URL-адрес из командной строки сервера C&C. Затем вредоносное ПО загружает файл с URL-адреса, сохраняет его в папку %TEMP%\my.dat и запускает его.
Рис. 12. Код обработки команды RUN
Эта команда RUN использовалась для распространения трояна Dofoil, начиная с 1 марта, и в рамках атаки, предпринятой 6 марта. Дерево процессов оповещения Windows Defender ATP демонстрирует обмен данными между вредоносным процессом mediaget.exe и goshan.online, одним из подтвержденных серверов C&C. После этого программа внедряет и запускает файл my.dat (Dofoil), который в итоге ведет к компоненту CoinMiner.
Рис. 13. Dofoil, процесс загрузки и выполнения CoinMiner
Рис. 14. Дерево процессов системы оповещения Windows Defender ATP
В рамках атаки троян Dofoil использовался для доставки вредоносной программы CoinMiner, задача которой — использовать ресурсы компьютеров пользователей для майнинга криптовалют в пользу злоумышленников. Троян Dofoil при атаке использовал изощренные приемы внедрения вредоносного кода в адресное пространство процессов, механизмы обеспечения устойчивости и методы уклонения от обнаружения. Windows Defender ATP успешно обнаруживает такое поведение на всех этапах заражения.
Рис. 15. Обнаружение внедрения процесса Dofoil в Windows Defender ATP
Мы сообщили о результатах наших исследований разработчикам MediaGet, чтобы помочь им грамотно проанализировать инцидент.
Мы также рассказали владельцам сертификата о том, как их сертификат подписи кода используется злоумышленниками в файле update.exe (отпечаток: 5022EFCA9E0A9022AB0CA6031A78F66528848568).
Защита от вирусных атак в режиме реального времени
Тщательно спланированная и заранее подготовленная кампания с применением Dofoil, обнаруженная 6 марта, представляет собой яркий пример многоуровневой вирусной кибератаки, которые сегодня происходят все чаще. При совершении типовых киберпреступлений теперь используются все более сложные приемы, которые ранее ассоциировались с более изощренными кибератаками. Windows Defender Advanced Threat Protection (Windows Defender ATP) предоставляет расширенный набор инструментов безопасности нового поколения, которые обеспечивают защиту клиентов в реальном времени от самых разных видов атак.
Корпоративные клиенты, использующие антивирус Windows Defender AV, активировавшие функцию защиты от потенциально ненадежных приложений, были защищены от ПО MediaGet, зараженного трояном, которое оказалось источником вирусной атаки 6 марта.
Windows Defender AV обеспечил надежную защиту клиентов от атак с применением Dofoil. Технологии поведенческого мониторинга и анализа выявили необычный механизм стойкости Dofoil и сразу же отправили соответствующий сигнал в облачную службу защиты, где многочисленные модели машинного обучения мгновенно блокировали большинство обнаруженных угроз при их появлении.
Всесторонний анализ атаки также показал, что расширенные библиотеки обнаружения в Windows Defender ATP помечали вредоносное поведение Dofoil на всех этапах заражения. К вредоносному поведению можно отнести внедрение кода, методы защиты от обнаружения и внедрение компонентов для майнинга криптовалют. Специалисты по безопасности могут использовать платформу Windows Defender ATP для обнаружения атак и эффективного реагирования на них. Windows Defender ATP также предоставляет встроенные инструменты защиты Windows Defender AV, Windows Defender Exploit Guard и Windows Defender Application Guard, обеспечивая безупречное управление системой безопасности на всех уровнях.
MediaGet что это за программа и нужна ли она?
Привет друзья 
В интернете последнее время развилось множество программ, некоторые из них непонятные ни мне ни многим юзерам, а другие же в свою очередь еще и опасными могут быть… Сегодня у нас в гостях программа MediaGet, я постараюсь рассказать что это за программа и нужна ли она вам.
Значит MediaGet это такой себе торрент клиент, который позволяет качать файлы в интернете, откуда я так и не понял (но потом все таки понял!), ибо все это ищется уже в программе. Давайте сначала посмотрим на эту программу, а потом я уже напишу некоторые свои выводы относительно нее.
Скачать бесплатно MediaGet без вирусов можно на официальном сайте, для этого в Яндексе или в Гугле просто пишите mediaget скачать и первая ссылка это должен быть официальный сайт. Ну, чтобы у вас не было сомнений, вот картинка из поисковика Яндекса, надеюсь все понятно:
Кстати, а вот раньше все было не так гладко. Это я о том, что Яндекс раньше сайт MediaGet считал вирусным, и вот подтверждение этому:
А вообще это повод задуматься… 
Потом там на сайте будет большая кнопка СКАЧАТЬ, ее нажимаете и начнется загрузка программы. Но часто бывает, что эта программа попадает на компьютер каким-то непонятным способом! Но как это все происходит я не знаю, просто читал отзывы в интернете, что у многих она взялась из неоткуда. Вот такие вот чудеса 
После чего я начал устанавливать программу:
При установке ничего такого не было, MediaGet как и многие программы, пыталась внедриться в систему максимально:
Это внедрение можно снизить, просто снимите галочки ненужные 
На этом думал что все, но оказалось что нет! Также при установке MediaGet предлагалось загрузить Яндекс Браузер и какие-то элементы его! Яндекс Браузер хороший, мне кажется, но вот так вот совать его при установке чуть ли не каждой проги, ну это как-то не очень:
Так что если что — снимайте галочки эти, если вам Яндекс Браузер не нужен или если он уже у вас есть Но блин, я думал что это уже точно все, но тут обломчик — нам также предлагают установить Антивирус 360, ну прям предложение за предложением! В общем если что, галочку также можете снять тут:
Все, потом уже наконец-то программа установилась и больше ничего не предлагала!
Вот как выглядит MediaGet:
Теперь попробуем тут что-то найти, ну для примера я ввел офисный пакет OpenOffice (кстати он полностью бесплатный в отличии от Microsoft, так что рекомендую) и вот какие результаты мне были выданы:
Как видите, результаты есть и их немало! Теперь давайте попробуем что-то скачать, это сделать просто — нажмите вот на эту кнопку:
Лучше качать то, где много звездочек в колонке Скорость, а то может быть такое, что скорости не будет, если мало раздающих 
После того как я нажал кнопку, то выскочило такое окошко добавления торрента:
То есть тут можно изменить куда оно будет качаться, можно скачать позже или сразу. Если нажать кнопку Подробнее, то будет список файлов и например если вам какие-то не нужны, то с них можно снять галочку. Ну то есть ничего особенного, хотя сделано все удобно 
В общем я нажал Скачать сейчас, открылась вкладка Загрузки, где идут все закачки. Вот там я и увидел все что нужно, это саму закачку, скорость, и состояние загрузки. Опять же, все сделано удобно! Есть даже кнопка Папка, которую можно нажать чтобы сразу открыть ту папку, куда качается файл! Вот эта вкладка:
Никаких особых косяков в программе я не заметил, там есть реклама, но он не слишком большая и не дурацкая.
На вкладке Медиаплеер можно смотреть какое-то видео не скачивая его:
Я попробовал проиграть какой-то прикол, ну видео с приколом, доля этого я написал такое как приколы коты и потом я нажал вот на эту кнопку, чтобы запустить ролик:
Что потом было? Дальше автоматически открылась вкладка Медиаплеер и начался показ ролика. Пока ролик загружается для просмотра, то внизу программы написаны какие-то умные цитаты, можно почитать и стать умнее…
К сожалению я ждал, ждал, но так и не дождался прикола про кота, вот такое сообщение у меня выскочило:
Это наверно потому что не было раздающих на закачке. В общем у меня что-то и другой ролик не получилось посмотреть, хотя загрузка пошла и остановилась на 6%… Интернет у меня вроде бы не самый медленный, в общем не знаю что это за косяк, но скорее всего он только у меня..
Так что все функции вроде как работают в MediaGet.
Значит что еще могу сказать о MediaGet? Я перезагрузки компа я у себя заметил иконку в трее, правда я не сразу понял что это иконка MediaGet:
Когда я нажал на иконку, то появилось главное окно MediaGet. В диспетчере задач программа сидит под процессом mediaget.exe:
Процесс вроде бы один. Устанавливается MediaGet вот в эту папку:
Еще заметил, что есть запись на вкладке Автозагрузка (окно Конфигурация системы, которое вызывается кнопками Win + R):
В принципе галочку можно снять, но лучше отключить автозапуск в самой программе.
Провели такой вот небольшой анализ, теперь я немного расскажу о настройках MediaGet. Чтобы в них попасть, то стоит нажать вот эту кнопку в главном окне программы (можно также нажать правой кнопкой по иконке в трее и там тоже будет пункт по поводу настроек):
И потом выбрать такой вот пункт:
Итак, что у нас там в настройках. На вкладке Основные можно отключить автозапуск MediaGet, можно также отключить автообновление программы:
Правда шрифт они могли сделать все таки и более темным, не очень то уж и четко видны настройки! На вкладке Поиск вы можете включить или отключить торрент-трекеры, на которых будет производиться поиск файлов (менять тут что-то не советую).
На вкладке Закачки вы можете отключить некоторые оповещения, изменить папку куда будут качаться файлы по умолчанию:
И не забывайте, что для того чтобы настройки применились, то нужно нажать кнопку ОК!
На вкладке Соединения можно настроить прокси, например если у вас интернет идет не прямиком, а через прокси. Но эту настройку меняют редко, так что пропускаем. На вкладке Дополнительно также нет ничего интересного, как мне кажется, разве что можете поставить галочку на Использовать LSD, это чтобы пиры искались и в локальной сети (как я понял). Скорость в внутри локальной сети вашего провайдера обычно куда больше чем в интернете.
Вкладка Профиль. Нут ту какие-то сомнительные настройки, ну это я имею ввиду то, что я бы не стал доверять программе MediaGet свои личные какие-то данные, пароли там… Чтобы качать файлы, не нужно вам никакой там профиль Вот кстати эта вкладка:
Но если что — можете попробовать, вдруг после авторизации откроются какие-то супер возможности MediaGet.
Ну что, вроде бы я все рассказал, пора подвести итоги:
Ну вот такие пироги ребята! Теперь мне осталось только показать как удалять MediaGet
Как удалить программу MediaGet с компьютера?
Если по каким-то причинам MediaGet вам не понравилась, может вам куда удобнее использовать привычный uTorrent, то можно MediaGet удалить с компьютера полностью. Но, как видите, особо опасного в программе вроде бы ничего нет. Проверил браузеры — расширения свои она не вставляет, вроде все чисто. Вроде это потому, что я как я и писал вначале, некоторые антивирусные программы относят MediaGet к потенциально опасным, но вот я сегодня ее смотрел и она мне не показалось опасной. А вот чтобы быстро найти и начать смотреть фильм — в этом она хорошо может помочь.
Так вот, по поводу удаления. Вы можете это сделать как обычным способом, то есть через Windows, ну а можно установить себе программу Revo Uninstaller и удалять софт так, чтобы и весь мусор после них тоже удалялся. Программа не сложная, так что рекомендую к ознакомлению.
Теперь о встроенных возможностях Windows для удаления, нажмите Пуск, там выберите Панель управления (если у вас Windows 10, то сперва зажмите Win + X и в меню выберите нужный пункт):
Теперь среди кучи значков найдите Программы и компоненты, запустите его:
В списке найдите MediaGet, нажмите правой кнопкой по нему и выберите Удалить:
Дальше будет такое сообщение, тут нажимаем Да:
Программа удалится автоматически в течении пару секунд. Вот что интересно, так это фирма, которая была указана как Издатель, вы обратили внимание? Вот смотрите:
Название фирмы очень хорошо намекает на направление компании, ну то есть баннер это что? Это реклама на сайте, рекламный графический блок
После того как MediaGet удалился, то открылась страница в браузере Internet Explorer, где было написано что нам очень жаль что вы уходите:
Последнее время программ, которые показывают что-то подобное при удалении, становится больше…
И напомню вам, что тут я проводил эксперимент по тому, вирус MediaGet или нет, так что если вам это интересно то почитайте.
Ну что, вроде бы со всем разобрались, что это за программа MediaGet, для чего она предназначена и как ее удалить. Теперь осталось пожелать вам удачи 