Win32 westbyte a что это
Озверел EZET NOD32, сносит Download Master
Озверел EZET NOD32, сносит Download Master.
Со вчерашнего дня озверел EZET NOD32.
Снёс Download Master.
Пишет, что обнаружена потенциально нежелательная программа Win32/Westbyte.A.
На ноутбуке установлена Windows 10 x64 и антивирус EZET NOD32.
И чем тогда качать с сайтов?
Download master
Товарищи подскажите. Снес ДМ с компа, а браузеры как один не хотят качать перекидывая меня на.
Download Master 5.9.3.1253
Основными чертами, выделяющими Download Master среди других программ, являются высочайшая.
Download Master самообновился
Такая штука вчера произошла. Раньше он предлагал обновиться, а теперь тайно обновился во время.
Проблема в Download Master
у меня такая проблемка, качаю кино, все норм, если перезапустить Download Master, то все закачки.
Download Master — adware менеджер загрузок с закрытым исходным кодом, работающий под Windows.
Adware (англ.; от ad, advertisement — «реклама» и software — «программное обеспечение» = рекламное программное обеспечение, рекламная программа) — тип лицензирования программного обеспечения. Само программное обеспечение распространяется бесплатно, однако автор или распространитель приложения получает доход за счет показа рекламы.
Также, термином «adware» называют тип зловредной программы, которая навязчивым образом отображает нежелательные объявления.
оптимизация под Download Master
Доброе время суток! Можно ли что-нибудь сделать, чтобы Download перехватывал все закачки.
Программа аналог Download Master
Добрый день. Хочу написать программу аналог Download Master. Мне очень нравится эта программа.
Download Master заканчивается аварийно
Пару лет назад я пользовался на W7 DM для закачки файлов и роликов из браузера. Вдруг после.
Нет докачки в Download Master
Доброе время суток. У меня тут возникла проблема связанная с докачкой файлов с надеюсь, всем.
Прикрепленные файлы:
А при чем тут Dr.Web? Спросите у вендоров, которые его считают вирусом.
А при чем тут Dr.Web? Спросите у вендоров, которые его считают вирусом.
А откуда ТУТ кто-то может знать почему ТАМ детект? Не задавали себе такого вопроса?
Именно с этого вопроса себе я и начал. И как вариант ответа выбрал (цитирую) «Сайт популярен в среде аналитиков, пользователей и создателей самых разнообразных антивирусов, а вдруг понимающий человек прочитает мой вопрос и поможет\подскажет. «
Хм. А как DrWeb может отвечать за детект в иных антивирусах-то?
Хм. А как DrWeb может отвечать за детект в иных антивирусах-то?
Именно этого ТС и не понимает.
на вирусТотале я доверю только Emsisoft а осталные нафиг не интересно.
Есть подозрение, что использовать функцию Open Document, что используется в вашей программе не совсем кошерно и этот способ ранее засветился в троянской программе.
Есть подозрение, что использовать функцию Open Document, что используется в вашей программе не совсем кошерно и этот способ ранее засветился в троянской программе.
Есть подозрение, что использовать функцию Open Document, что используется в вашей программе не совсем кошерно и этот способ ранее засветился в троянской программе.
Вот ВЕСЬ код программы, что здесь нетрадиционного?
Option Explicit
Dim NazvaFajlu As String
Dim NaWord As Object
Private Sub Form_Load()
CommonDialog1.DialogTitle = «Оберіть файл»
CommonDialog1.ShowOpen
NazvaFajlu = CommonDialog1.FileName
If Dir(NazvaFajlu, 63) = «» Or CommonDialog1.FileName = «» Then
MsgBox «Файлу не знайдено», vbCritical
End
End If
Set NaWord = CreateObject(«Word.application»)
NaWord.Visible = True
NaWord.Documents.Open FileName:=NazvaFajlu
DoEvents
End
End Sub
Есть подозрение, что использовать функцию Open Document, что используется в вашей программе не совсем кошерно и этот способ ранее засветился в троянской программе.
на вирусТотале я доверю только Emsisoft а осталные нафиг не интересно.
на вирусТотале я доверю только Emsisoft а осталные нафиг не интересно.
П_Сергей, а в чем сакральный смысл подобных программ-открывалок? Что-то я никак не улавливаю, простите мою дремучесть. Как говаривал старина Оккам, шлифуя свою бритву о широкий кожаный ремень, не плодите сущностей сверх необходимости.
П_Сергей, а в чем сакральный смысл подобных программ-открывалок? Что-то я никак не улавливаю, простите мою дремучесть. Как говаривал старина Оккам, шлифуя свою бритву о широкий кожаный ремень, не плодите сущностей сверх необходимости.
оказывается, что я ей дал троян и ворую ее документы
оказывается, что я ей дал троян и ворую ее документы
Тогда почему это вирус
Private Sub Command1_Click()
Text1.Text = «123»
End Sub
Срыв масштабной хакерской атаки на пользователей Windows в России: часть 2
Совсем недавно мы предотвратили массовую атаку с применением трояна Dofoil, целью которой была установка вредоносного ПО для майнинга криптовалют на сотни тысяч компьютеров. С помощью поведенческого мониторинга, моделей машинного обучения и многоуровневой системы защиты антивирусная программа Windows Defender смогла эффективно выявить и заблокировать атаку в течение несколько миллисекунд.
Сегодня мы еще подробнее расскажем о самой атаке, путях заражения и поделимся временно́й шкалой. Заглядывайте под кат!
Сразу после обнаружения атаки мы смогли определить, откуда именно совершается огромное количество попыток установить вредоносное ПО. Как правило, троян Dofoil (также известный как Smoke Loader) распространяется самыми разными способами, включая спам-сообщения и наборы эксплойтов. Для атаки, которая началась 6 марта, использовалась другая схема: большинство вредоносных файлов создавалось процессом mediaget.exe.
Этот процесс относится к MediaGet, BitTorrent-клиенту, соответствующему классификации семейств потенциально нежелательных приложений. Пользователи часто используют приложение MediaGet для поиска и загрузки программ и мультимедийных файлов с сайтов с сомнительной репутацией. Использование таких приложений для файлообмена повышает риск загрузки вредоносных программ.
Однако, изучив атаку, мы пришли к выводу, что заражение криптомайнером Dofoil не связано с загрузкой torrent-файлов. Ранее мы не наблюдали такую схему в других файлообменных приложениях. Процесс mediaget.exe всегда записывал образцы Dofoil в папку %TEMP% с именем my.dat. Наиболее часто источником заражения был файл %LOCALAPPDATA%\MediaGet2\mediaget.exe (SHA-1: 3e0ccd9fa0a5c40c2abb40ed6730556e3d36af3c).
Рекомендуемые материалы: статистические данные об атаке, полезные сведения и данные о реагировании Windows Defender см. в статье Срыв масштабной хакерской атаки на пользователей Windows в России.
Временная шкала осуществленной атаки
Всестороннее изучение атаки Dofoil, предпринятой 6 марта, показало, что это была тщательно спланированная кампания, которая готовилась злоумышленниками с середины февраля. Для осуществления задуманного злоумышленники сначала распространили вирус через обновление программы MediaGet, которую пользователи установили на свои компьютеры. Временная шкала ниже отображает основные события в рамках атаки Dofoil.
Рис. 1. Временная шкала атаки через MediaGet
Заражение обновления программы MediaGet
Процесс заражения обновления для MediaGet, которое в итоге привело к массовой атаке, описано в следующей схеме. Доверенное приложение mediaget.exe загружает исполняемый файл update.exe и запускает его на компьютере для установки нового экземпляра mediaget.exe. Новый экземпляр приложения mediaget.exe имеет все те же функции, что и подлинный, однако при этом в нем предусмотрена лазейка.
Рис. 2. Процедура заражения файла обновления
Вся процедура установки инфицированного файла обновления отслеживается сервисом Windows Defender ATP. Следующее дерево процессов показывает, как процесс mediaget.exe внедряет зараженный подписанный файл update.exe.
Рис. 3. Обнаружение вредоносного процесса обновления в Windows Defender ATP
Зараженный файл update.exe
Загруженный update.exe представляет собой пакетный файл InnoSetup SFX, в который встроен зараженный трояном файл mediaget.exe. При запуске этот исполняемый файл внедряет зараженную трояном неподписанную версию приложения mediaget.exe.
Рис. 4. Данные сертификата зараженного файла update.exe
Update.exe подписан сторонним разработчиком ПО, не связанным с MediaGet (вполне вероятно, что эта компания является жертвой злоумышленников). Исполняемый файл содержит код, подписанный другим сертификатом, задача которого — просто передать такое же требование о подтверждении подписи, как и в исходном файле mediaget.exe. Код обновления выполняет проверку данных сертификата, подтверждая, что он является действительным и подписан надлежащим образом. Если сертификат подписан, он проверяет, совпадает ли значение хэша со значением, полученным от хэш-сервера в инфраструктуре mediaget.com. На следующей иллюстрации показан фрагмент кода, который выполняет проверку действительных подписей для файла update.exe.
Рис. 5. Код обновления mediaget.exe
Зараженный трояном файл mediaget.exe
Зараженный трояном файл mediaget.exe, распознанный антивирусом Windows Defender AV как Trojan:Win32/Modimer.A, выполняет те же функции, что и исходный файл, однако он не подписан и имеет лазейку. Этот вредоносный двоичный код на 98 % совпадает с исходным двоичным кодом MediaGet. Согласно следующим данным PE, в исполняемом файле указаны другие данные PDB и иной путь файла.
Рис. 6. Сравнение путей PDB подписанного и зараженного трояном исполняемого файла
При запуске вредоносной программы создается список серверов управления и контроля (C&C).
Рис. 7. Список серверов C&C
Первое обращение к серверу C&C происходит спустя один час после запуска программы.
Рис. 8. Таймер начала подключения к серверу C&C
Вредоносная программа выбирает один из четырех серверов C&C. Программа использует протокол HTTP для обмена данными управления и контроля.
Рис. 9. Подключение к серверу C&C
Код лазейки собирает сведения о системе и отправляет их на сервер C&C через POST-запрос.
Рис. 10. Сведения о системе
Сервер C&C возвращает на клиент различные команды. Следующий ответ содержит команды HASH, IDLE и OK. Команда IDLE задает ожидание процесса в течение определенного периода (в секундах, например — 7200 секунд = 2 часа) до повторного обращения к серверу C&C.
Рис. 11. Команды управления и контроля
Одна из команд лазейки — RUN, которая получает URL-адрес из командной строки сервера C&C. Затем вредоносное ПО загружает файл с URL-адреса, сохраняет его в папку %TEMP%\my.dat и запускает его.
Рис. 12. Код обработки команды RUN
Эта команда RUN использовалась для распространения трояна Dofoil, начиная с 1 марта, и в рамках атаки, предпринятой 6 марта. Дерево процессов оповещения Windows Defender ATP демонстрирует обмен данными между вредоносным процессом mediaget.exe и goshan.online, одним из подтвержденных серверов C&C. После этого программа внедряет и запускает файл my.dat (Dofoil), который в итоге ведет к компоненту CoinMiner.
Рис. 13. Dofoil, процесс загрузки и выполнения CoinMiner
Рис. 14. Дерево процессов системы оповещения Windows Defender ATP
В рамках атаки троян Dofoil использовался для доставки вредоносной программы CoinMiner, задача которой — использовать ресурсы компьютеров пользователей для майнинга криптовалют в пользу злоумышленников. Троян Dofoil при атаке использовал изощренные приемы внедрения вредоносного кода в адресное пространство процессов, механизмы обеспечения устойчивости и методы уклонения от обнаружения. Windows Defender ATP успешно обнаруживает такое поведение на всех этапах заражения.
Рис. 15. Обнаружение внедрения процесса Dofoil в Windows Defender ATP
Мы сообщили о результатах наших исследований разработчикам MediaGet, чтобы помочь им грамотно проанализировать инцидент.
Мы также рассказали владельцам сертификата о том, как их сертификат подписи кода используется злоумышленниками в файле update.exe (отпечаток: 5022EFCA9E0A9022AB0CA6031A78F66528848568).
Защита от вирусных атак в режиме реального времени
Тщательно спланированная и заранее подготовленная кампания с применением Dofoil, обнаруженная 6 марта, представляет собой яркий пример многоуровневой вирусной кибератаки, которые сегодня происходят все чаще. При совершении типовых киберпреступлений теперь используются все более сложные приемы, которые ранее ассоциировались с более изощренными кибератаками. Windows Defender Advanced Threat Protection (Windows Defender ATP) предоставляет расширенный набор инструментов безопасности нового поколения, которые обеспечивают защиту клиентов в реальном времени от самых разных видов атак.
Корпоративные клиенты, использующие антивирус Windows Defender AV, активировавшие функцию защиты от потенциально ненадежных приложений, были защищены от ПО MediaGet, зараженного трояном, которое оказалось источником вирусной атаки 6 марта.
Windows Defender AV обеспечил надежную защиту клиентов от атак с применением Dofoil. Технологии поведенческого мониторинга и анализа выявили необычный механизм стойкости Dofoil и сразу же отправили соответствующий сигнал в облачную службу защиты, где многочисленные модели машинного обучения мгновенно блокировали большинство обнаруженных угроз при их появлении.
Всесторонний анализ атаки также показал, что расширенные библиотеки обнаружения в Windows Defender ATP помечали вредоносное поведение Dofoil на всех этапах заражения. К вредоносному поведению можно отнести внедрение кода, методы защиты от обнаружения и внедрение компонентов для майнинга криптовалют. Специалисты по безопасности могут использовать платформу Windows Defender ATP для обнаружения атак и эффективного реагирования на них. Windows Defender ATP также предоставляет встроенные инструменты защиты Windows Defender AV, Windows Defender Exploit Guard и Windows Defender Application Guard, обеспечивая безупречное управление системой безопасности на всех уровнях.
LiveInternetLiveInternet
—Видео
—Метки
—Рубрики
—Цитатник
Некоторые фильтры AAAfilter Bas relief CPK filter D.
Все полезности в одном посте! 🙂 Собственно пост удобной навигации по блогу:-) Все ссылки на сам.
—Поиск по дневнику
—Интересы
—Друзья
—Постоянные читатели
—Сообщества
—Статистика
При запуске программы
Стартовать все закачки
Если установлен флажок, то при запуске Download Master будут стартовать все закачки, которые находились в паузе.
Отключиться от Интернет после завершения закачек
Если установлен флажок, то Download Master будет отключаться от Интернет после завершения всех закачек. Если RAS не установлен, то данная опция будет не активной.
( i ) Отключение от Интернет возможно только при использовании коммутируемой линии .
Выключить ПК после завершения всех закачек
Если установлен флажок, то Download Master будет выключать ПК после завершения всех закачек.
Настраиваем Download Master(DMaster) для автоматического сканирования загружаемых файлов с помощью Eset NOD32.
Проверять файлы на вирусы после закачки
Если установлен флажок, то Download Master будет проверять все закачанные файлы антивирусной программой.
Антивирусная программа
Выберите антивирусную программу, которая будет использоваться для проверки файлов.
Параметры
Параметры для запуска антивирусной программы.
( i ) Для наиболее популярных антивирусных программ мы предлагаем параметры «по умолчанию». При необходимости, вы можете в любой момент их изменить.
Проверять файлы только со следующими расширениями:
Если установлен флажок, то Download Master будет проверять только файлы с указанными расширениями. Расширения указываются через пробел без точек (например: EXE ZIP RAR).
( i ) Если флажок не установлен, то будут проверяться все файлы.
ВНИМАНИЕ: любая запись в этом поле ДОЛЖНА ОБЯЗАТЕЛЬНО начинаться с [FileName]. Сразу же скажу, что дополнительных параметров много(полный список приведен ниже), но наиболее важные из них уже заданы по умолчанию. В принципе, поле можно оставить вообще пустым, но все же я рекомендую указать в нем следующее:
[FileName] /log-file=eset_scan_log.txt /quarantine
Теперь результаты сканирования будут записываться в файл eset_scan_log.txt, который будет находиться в ТОМ ЖЕ каталоге, ЧТО и установленный dmaster.exe(в моем случае это C:\Program Files\Download Master\), и все зараженные файлы не поддающиеся лечению будут НЕ удаляться, а перемещаться в карантин.
Обновление Download Master
Проверять доступность новой версии каждые
Если установлен флажок, то Download Master будет проверять наличие новой версии через указанное вами число дней.
Автоматически восстанавливать связь при обрыве
Если установлен флажок, то Download Master будет восстанавливать связь и продолжать закачки при обрыве модемного соединения.
Рекомендуется включить пункт – Автоматически восстанавливать связь при обрыве.
Возможно, у кого-то окно настроек выглядит так:
