Gempcccid что это за программа?

Самый сложный вредонос под Android

Коллеги из вирлаба написали статью о бэкдоре, с возможностями котого вы должны ознакомиться: http://www.securelist.com/ru/blog/207768863/Samyy_slozhnyy_Android_troyanets. В своей же статье я покажу, чем грозит заражение этим вредоносом. Но для нач.

Коллеги из вирлаба написали статью о бэкдоре, с возможностями котого вы должны ознакомиться: http://www.securelist.com/ru/blog/207768863/Samyy_slozhnyy_Android_troyanets . В своей же статье я покажу, чем грозит заражение этим вредоносом.

Но для начала подобьем список особенностей и возможностей бэкдора:

  1. Все строки DEX файла зашифрованы, а код обфусцирован
  2. Создатели нашли ошибку в утилите dex2jar, которая обычно используется аналитиками для конвертирования APK-файла в JAR для анализа. Обнаруженная уязвимость нарушает процесс конвертации Dalvik байт-кода в Java байт-код, что в итоге затрудняет статический анализ
  3. Создатели нашли ошибку в Android, связанную с обработкой AndroidManifest.xml. Они модифицировали AndroidManifest.xml таким образом, что тот не соответствовал заданному Google стандарту, но при этом, благодаря найденной уязвимости, правильно обрабатывался на смартфоне. В результате динамический анализ троянца крайне затруднен
  4. Создатели нашли еще одну неизвестную ранее ошибку в Android, которая позволяет вредоносному приложению пользоваться расширенными правами DeviceAdministrator, но при этом отсутствовать в списке приложений, обладающих такими правами. В итоге удалить штатно приложение уже нельзя:

  • Вредонос не имеет интерфейса и работает в фоновом режиме
  • Отправляет SMS на премиум-номера. Ну еще бы
  • Скачивает и устанавливает на устройство другие приложения
  • Рассылает скаченные приложения по Bluetooth
  • Выполняет удаленные команды
  • Для расшифровки собственных важных функций использует ключ, который не зашит в него, а находится в коде страницы facebook.com. То есть без Интернета он не будет проявлять вредоносной активности
  • При обнаружении подключения к WiFi или по Bluetooth он может на 10 секунд заблокировать экран и выполнить свои действия. Выключение экрана ему нужно, чтобы пользователь в этот момент ему не помешал
  • Запрашивает права root
  • Включает WiFi при выключении экрана, если тот был выключен
  • Если аппарат не подключен к WiFi, то, при наличии прав root, ищет вокруг незапароленные точки и подключается к ним, чтобы через них подключиться к серверам хозяина
  • Передает некоторые данные хозяину (IMEI, номер телефона, баланс и другие)
  • Управляется как через Интернет, заходя на сервер хозяина, так и по SMS (ведь у хозяина уже есть номер телефона)
  • Впечатляет? Тогда под кат, где я продемонстрирую несколько скриншотов.

    Для исследования я взял Backdoor.AndroidOS.Obad.a с md5 E1064BFD836E4C895B569B2DE4700284. Вредонос не работает на эмуляторе. Возможно его удалось бы запустить после модификции эмулятора через командную строку, но мне проще использовать реальное устройство. Внимание! Не повторяйте такого!

    Приложение весит 83 килобайта. Установку я сделаю с принудительной проверкой приложения антивирусом от Google:

    Я не думаю, что кто-то ждал, что вредонос будет обнаружен. Ну ладно. Т.к. установка происходит через штатный инсталлятор, то все запросы показаны. В том числе те, что стоят денег. Ах, если бы читали хотябы треть пользователей.

    Для проверки, заражена система или нет я буду использовать Kaspersky Mobile Security. Не потому что это реклама или что-то подобное. Просто наш продукт заведомо видит и детектирует угрозу. Удалить он все равно ее не сможет после того, как я разрешу использование функций Device Administrator. Вот как детектируется вредонос:

    Теперь самое опасное — запуск. Предварительно я удалю пароль для своей WiFi точки. SIM карта была извлечена еще раньше.

    Я запретил использование root прав. Тут и без них достаточно «счастья» будет. На заднем плане идет обратный отсчет до появления экрана предоставление прав администратора устройства. Я предоставил эти права. Всё. Если ваш аппарт не рутован, то вы не сможете удалить это приложение. Вы уже видели, что кнопки удаления недоступны. Но даже если вызвать удаление иным образом, его нельзя завершить из-за уязвимости в Device Admin. Сейчас я попытаюсь вызвать удаление из Kaspersky Mobile Security.

    Как вы можете убедиться, в списке DA вредоноса действительно не видно. А значит права администратора системы забрать у него нельзя. Так что если вы не уверены в своих знаниях и опыте, лучше используйте проверенный антивирус. Любой. Главное, чтобы у него была заслуженная великолепная репутация. Как специалист, я бы рекомендовал антивирусы отечественных производителей, т.к. в России пока еще не забивают на реальные исследования и тестирования.

    Но это было отступление. Давайже же удалять вредоноса! Благо прав root у него нет, а возможность предоставить их проверенным средствам — есть. Все, используемое мною для нейтрализации угрозы имеет права root. Я не буду показывать этого, но после каждой попытки я проверяю, что вредонос остался/удален сразу двумя способами. Сначала я нахожу его в списке приложений (кстати, скриншот этого списка в шапке статьи), затем проверяю нашим ативирусом. Вердикт антивируса приоритетнее; я знаю как работает он и знаю, как работает система.

    Начну с неспециализированного приложения — с популярного файлового менеджера ES Explorer.

    Как видим, он не справился. Тогда попытаемся просто удалить вредоноса руками. Благо знаем имя пакета.

    Есть! Но получилось, что специальный инструмент в ES Explorer не справился, а «ручной режим» справился. Делаем вывод — автомат в нем бесполезен.

    Второе приложение — специализированная утилита для удаления мусора, в том числе приложений — SD Maid.

    Вполне ожидаемо приложение видит вредоноса, но удалить не сумело. При этом сделало какое-то невнятное заявление о скрытии системного приложения. Ну, раз и тут автомат не справился, переходим на ручник.

    Но здесь нет папки вредоноса. Очевидно, что ручник не приспособлен вообще для серьезной работы, только для очистки мусора.

    Хорошо, раз в режиме «руками» мы смогли снести заразу, попробуем сделать этот из adb shell, как меня попросили в Juick. Собственно, тут ждать проблем не приходится.

    И вредоноса нет. Теперь остается просто подчистить хвосты. Можно даже штатно.

    Следующим будет приложение RootAppDelete. Выбираем удаление пользовательского ПО и.

    Эта утилита не использует прав root для удаления пользовательских приложений, а вызывает штатный анисталлер. В итоге удалить бекдора им нельзя.

    Ну и опробуем то, что не может вызывать сомнений — Titianium Backup.

    Как видно на последнем скриншоте, хвосты штатно зачистить все еще нельзя. Ну это не проблема. Перезагружаем смартфон и.

    Да, я использовал сделаный ранее скриншот, но сути не меняет 🙂

    Итак, мы столкнулись с вредоносом, который хоть и можно обезвредить, но это просто не под силу подавляющему большинству пользователей. Более того, этот вредонос защищается от удаления только штатными возможностями Android и при наличии root не использует эти права для самозащиты. Но теперь, вооружившись знанием о подобных вредоносах, вы сможете вынести их руками. Если, конечно, ваш аппарат рутован. В противном случае вам придется сделать сброс.

    P.S. После удаления вредоноса и вставки SIM я обнаружил, что отключен мобильный интернет. Не исключаю, что это поведение Android или даже прошивки от Motorola. Но может быть и подлянка вредоноса.

    Если вам интересны новости мира ИТ также сильно, как нам, подписывайтесь на наш Telegram-канал. Там все материалы появляются максимально оперативно. Или, может быть, вам удобнее «Вконтакте» или Twitter? Мы есть также в Facebook.

    Для чего нужны эти программы на компьютере? Какие можно удалить?

    C:/Program Files:
    1) 7-ZIP
    2) AGEIA Technologies
    3) Apple Software Update
    4) ASIO4ALL v2
    5) AskTBar
    6)Astrum Nival
    7)AVG
    8)Carambis
    9)Common Files
    10)ComPlus Applications
    11)Get-Styles 2.0
    12)HP
    13)Intel
    14)Internet Explorer
    15)K-Lite Codec Pack
    16)Messenger
    17)Microsoft Office
    18)Microsoft Visual Studio 8
    19)Microsoft Works
    20)Movie Maker
    21)Mozilla Firefox
    22)MSBuild
    23)MSN Gaming Zone
    24)MSXML 6.0
    25)Nero
    26)NetMeeting
    27)Online Services
    28)Outlook Express
    29)Outsim
    30)pchd
    31)Realtek
    32)Reference Assemblies
    33)Skype
    34)Sony
    35)uTorrent
    36)VKSaver
    37)VstPlugins
    38)Windows Media Player
    39)Windows NT
    40)WinRAR
    41)Yandex

    Компьютер все время выдает что очень мало места на диске С
    И все время предлагает что-нибудь удалить, а я хз что надо удалят, а что не в кое случае нельзя.
    И кто знает, можете написать что каждая программа означает и для чего именно она нужна!
    ПОМОГИТЕ ПОЖАЛУЙСТА!! !
    СПАСИБОЧКИ!

    4,5,6,8,11,29,30,37,41 — можно удалять. А вообще лучше это делать через панель управления-Программы и компоненты. У вас может быть недостаточно памяти потому, что вайи файлы на Рабочем столе и в Моих документах хранятся на диске С. Чаще всего бывает море фильмов на рабочем столе в папке «фильмы» — проверьте))

    Папку не трогай. Зайди в Панель управления -> Программы и компоненты
    и там удаляй.

    1) 7-ZIP — архиватор
    2) AGEIA Technologies — драйвер
    3) Apple Software Update — утилита для обновления *
    4) ASIO4ALL v2 — драйвер
    5) AskTBar — тулбар *
    6)Astrum Nival — тут может быть игра *
    7)AVG — антивирус *
    8)Carambis — утилита для скачивания драйверов *
    9)Common Files — системная папка
    10)ComPlus Applications — системная папка
    11)Get-Styles 2.0 — стилизация *
    12)HP — драймера (может быть)
    13)Intel — драйвера
    14)Internet Explorer — сис. папка
    15)K-Lite Codec Pack — кодеки и плеер
    16)Messenger — windows messanger
    17)Microsoft Office — яснопонятно
    18)Microsoft Visual Studio 8 — среда разработки программного обеспечения *
    19)Microsoft Works — ?
    20)Movie Maker — программа для клепания своих видеороликов
    21)Mozilla Firefox — браузер
    22)MSBuild — относится к MSVisual Studio 8
    23)MSN Gaming Zone — служба для скачивания игр из win store (я предполагаю) *
    24)MSXML 6.0 — какие-то службы *
    25)Nero — программа для записи дисков *
    26)NetMeeting — мессенджер
    27)Online Services
    28)Outlook Express — почтовый клиент
    29)Outsim — аудио плагин *
    30)pchd — ?*
    31)Realtek — драйвера
    32)Reference Assemblies — скорее всего, удалится после удаления MSVisual Studio 8
    33)Skype — мессенджер
    34)Sony — понятия не имею)
    35)uTorrent — торрент-клиент
    36)VKSaver — плагин для работы с соц. сетью VK *
    37)VstPlugins — аудио плагины *
    38)Windows Media Player — стандартный плеер
    39)Windows NT — системная папка
    40)WinRAR — архиватор
    41)Yandex — скорее всего, тулбар *

    Все, что отмечено звездой можно смело сносить. Также, поищи утилиту CCLeaner, и с её помощью почисти компьютер и реестр.

    Можно удалить следующее:
    Yandex
    WinRAR или 7-ZIP одно и то же
    Outlook Express
    Microsoft Visual Studio 8
    AskTBar
    Online Services
    ______
    Этими программами вы врятли будите пользоваться. .

    ___
    Для освобождения дискового пространства перенесите свои данные из папки «мои документы» на второй диск, а так же всю лишнюю информацию с рабочего стола! ! Если у вас есть конечно же второй диск.

    Забивай каждую прогу в google и читай подробно, потом принимай решение удалить или нет. Можешь хоть вообще все уничтожить)))

    С рабочего стола все папки перенеси на второй диск, а то небось на раб столе и фотки и фильмы и музыка лежит.

    Apple Software Update
    ASIO4ALL v2
    5) AskTBar
    6)Astrum Nival
    11)Get-Styles 2.0
    Carambis
    VKSaver

    А ты как используешь компьютер? Как печатную машинку или как?

    Сдесь вес всех прог не больше 200 мб. Ты этим проблему не решишь.

    Похоже всё удалила-))))).Если нет это програмные файлы их трогать нельзя ни в коем случае. Скачай программу Ccleaner и почисть дсик от мусора поможет. А вообще купи дополнительный

    всё нужное почти Outsim — зачем36)VKSaver
    37)VstPlugins 4) ASIO4ALL v2
    5) AskTBar
    6)Astrum Nival
    7)AVG
    8)Carambis

    у меня таких нет

    ищи фильмы, музыку, игры

    3,5,41 фигня, 4 для електронной музыки 18 программирование 6 вроде игра от нивал остальные нужны

    вот которые нужны
    9)Common Files
    14)Internet Explorer
    15)K-Lite Codec Pack это кодеки
    16)Messenger
    23)MSN Gaming Zone
    24)MSXML 6.0
    28)Outlook Express
    31)Realtek звуковой драйвер
    38)Windows Media Player
    39)Windows NT

    остальное на выбор можешь удалять можешь нет

    Сообщества › Компьютерная Помощь › Блог › В нашем компе поселился замечательный майнер

    Приветствую.

    Просто папку удалить и все, или где-то еще что-то живет?

    Если вдруг и у вас завелся друг — проверьте на наличие папки — NsMiner либо файла IMG001

    Иконка файла IMG001 такая же, как и у папок, но файл является приложением, возможно и инсталлятором, поэтому, отнеситесь повнимательнее, и не кликайте.
    У меня он со 2 февраля прописался, оказывается.

    С компьютерами я несколько на «Вы»…

    Метки: mining, partisan, 1tv

    Комментарии 28

    Эм. А как его получить? Непроверенная почта, ссылки в пронхабе, попытка скачать пиратки откуда не надо?

    Да фиг знает, по дате создания — я в этот день лишь МР3 файл скачал

    Ну вот оттуда и получил (

    С этого сайта и ранее скачивал, и на днях — ничего такого не было и нет.
    Дать ссылку, проверим?))

    Возможно в каком-нибудь сайте мешающий баннер или область со скриптом(или как там они зовутся ) кликнул.

    Давай. Кидай в личку

    Всегда решением проблемы является ее первоначальная и корректная диагностика, в том числе следов ее появления! Это спящий бот майнинга, который просыпается как по таймеру, так и по сети!
    1. Вариант: отследить пакеты инициирующие запуск паразита (wireshark) поймать айпишник и заблокировать на сетевом уровне, дополнительно выяснить чей он, сообщить тому оператору кому принадлежит паразитирующая подсеть, приложить логи и скрины с запросом изолировать нарушителя или данные будут переданы в отдел «К».
    2. Вариант: без траты времени и чтобы не вникать (самый простой в этом случае) — иметь два физически раздельных жестких диска, переустановить систему и нужный софт+драйвера, закончить все допнастройки и сделать снапшот системы на второй диск, на системном диске не хранить ничего кроме программ и самой системы! Не сохранять куки и пароли к сайтам! Это традиционная моя рекомендация, которая даёт практически 99% гарантию работы пк и скорого его возврата в строй в случае подобному этому и сохранению персональной информации!
    P.S.: второй жёсткий диск лучше иметь как внешним и резервным!
    Успехов!

    Спасибо!
    Активность поймал при первичном запуске Ютуба, на тот момент я знал присутствие программы Майнинга, поэтому через диспетчер задач выявил самый активный файл — загрузку ЦП на 100% вызвало приложение — NsCpuCNMiner64 — завершил его процесс и активность тут же спала.

    Ранее пару раз была резкая спонтанная активность компьютера, но ввиду того, что на тот момент не был в курсах чем это было вызвано, закрывал браузеры и инициировал Выход из системы.

    Первоначально заметил файл IMG001 на флешке фотоаппарата, когда через кабель загружал фотографии в компьютер, поскольку иконка файла похожа на иконку папки — попытался его открыть, но ничего на первый взгляд не произошло, посмотрев повнимательнее обнаружил что это приложение, поскольку название несколько схоже с файлами создаваемым фотоаппаратом, насторожился, но особо не придал значения.

    Проверил отдельный стационарный накопительный диск ноутбука — там тоже присутствовал файл IMG001.
    Возможно, дублируется на обнаруженные флеш-накопители.

    Вероятно файл-приложение IMG001 является инсталлятором программы.

    Вероятно, судя по дате создания, попало при скачивании музыкального файла.

    Запускается вместе с компьютером, при последующем ручном вырубании через диспетчер задач всех касательных исполняемых файлов программы майнинга — повторный самостоятельный запуск пока не замечен.

    Я уже ознакомился с комментариями ниже, это лёгкий случай! Файл не шифруется, предлагаю проверить hosts файл, но сейчас уже этим балуются только патчи или кряки! Открытие самого ютуб тут не причём, нужно анализировать поведение червя — например отключить интернет и открыть браузер или наоборот и проверить как себя будет вести червь! Нагрузка на железо появляется во время обработки. А не простоя программы, отправьте файл в вирустотал и поставьте хороший антивирус. Вам удобнее быстро исправить пк или решить проблему?

    hosts без изменений.

    Удобнее быстро исправить пк.

    Восстановление не решит проблему?
    upd, видимо нет, точки восстановления свежие.

    Вот и ответ на все ваши вопросы 🙂
    Откат не поможет, но Вы можете попробовать)

    8 приложений для Android, которые нужно удалить. Они опасны

    Кто бы что ни говорил, но Google Play – это помойка. Не даром её признали самым популярным источником вредоносного софта для Android. Просто пользователи в большинстве своём доверяют официальном магазину приложений Google и скачивают оттуда любое ПО без разбору. А какой ещё у них есть выбор? Ведь их всегда учили, что скачивать APK из интернета куда опаснее. В общем, это действительно так. Но остерегаться опасных приложений в Google Play нужно всегда. По крайней мере, постфактум.

    Есть как минимум 8 приложений, которые нужно удалить

    Google добавила в Google Play функцию разгона загрузки приложений

    Исследователи кибербезопасности из антивирусной компании McAfee обнаружили в Google Play 8 вредоносных приложений с многомиллионными загрузками. Попадая на устройства своих жертв, они скачивают получают доступ к сообщениям, а потом совершают от их имени покупки в интернете, подтверждая транзакции кодами верификации, которые приходят в виде SMS.

    Вредоносные приложения для Android

    Нашли вирус? Удалите его

    В основном это приложения, которые потенциально высоко востребованы пользователями. Среди них есть скины для клавиатуры, фоторедакторы, приложения для создания рингтонов и др.:

    • com.studio.keypaper2021
    • com.pip.editor.camera
    • org.my.famorites.up.keypaper
    • com.super.color.hairdryer
    • com.celab3.app.photo.editor
    • com.hit.camera.pip
    • com.daynight.keyboard.wallpaper
    • com.super.star.ringtones

    Это названия пакетов приложений, то есть что-то вроде их идентификаторов. Поскольку всё это вредоносные приложения, их создатели знают, что их будут искать и бороться с ними. Поэтому они вполне могут быть готовы к тому, чтобы менять пользовательские названия приложений, которые видим мы с вами. Но это мы не можем этого отследить. Поэтому куда надёжнее с этой точки зрения отслеживать именно идентификаторы и удалять вредоносный софт по ним.

    Как найти вирус на Android

    Но ведь, скажете вы, на смартфоны софт устанавливается с пользовательскими названиями. Да, это так. Поэтому вам понадобится небольшая утилита, которая позволит вам эффективно выявить весь шлаковый софт, который вы себе установили, определив название их пакетов.

    • Скачайте приложение для чтения пакетов Package Name Viewer;
    • Запустите его и дайте те привилегии, которые запросит приложение;

    В красном квадрате приведен пример названия пакета

    • Поочерёдно вбивайте в поиск названия пакетов, приведённые выше;
    • При обнаружении приложений с такими именами, нажимайте на них и удаляйте.

    Package Name Viewer удобен тем, что позволяет не просто найти нужное приложение по названию его пакета, но и при необходимости перейти в настройки для его удаления. Для этого достаточно просто нажать на иконку приложения, как вы попадёте в соответствующий раздел системы, где сможете остановить, отключить, удалить накопленные данные, отозвать привилегии или просто стереть нежелательную программу.

    Как отменить подписку на Андроиде

    Лучше всего приложение именно удалить. Это наиболее действенный способ защитить себя от его активности. Однако не исключено, что оно могло подписать вас на платные абонементы, поэтому для начала проверьте свою карту на предмет неизвестных списаний, а потом просмотрите список действующих подписок в Google Play:

    • Запустите Google Play и нажмите на иконку своего профиля;
    • В открывшемся окне выберите раздел «Платежи и подписки»;

    Если подписка оформлена через Google Play, отменить её ничего не стоит

    • Здесь выберите «Подписки» и проверьте, нет ли среди них неизвестных;
    • Если есть, просто нажмите напротив неё на кнопку «Отменить».

    В принципе, если подписка была оформлена через Google Play и оплата уже прошла, вы можете потребовать у Google вернуть уплаченные деньги. О том, как это делается, мы описывали в отдельной статье. Но поскольку разработчики таких приложений обычно тщательно продумывают способы воровства денег, как правило, они не используют встроенный в Google Play инструмент проведения платежей, чтобы их в случае чего не могли отозвать.

    10 программ, которые стоит удалить в Windows

    В данной статье мы разберем программное обеспечение, использование которого в данный момент неактуально. Для таких вот случаев есть множество современных альтернатив, а некоторые программы вообще уже не нужно использовать, потому что пользы от них нет.

    Сразу скажу, чтобы удалять программы не используйте встроенный в Windows компонент «Программы и компоненты», он не удаляет то, что хотелось бы. Для этих целей существует множество других деинсталляторов, например, CCleaner, Uninstall Tool и другие. Обязательно используйте их.

    Если вы давно не занимались удаление «мусора», то вы, скорее всего, удивитесь, как много его на вашем компьютере.

    Microsoft Silverlight

    Раньше, чтобы посещать сайты нужны были различные компоненты и дополнения для браузеров. В этом примере Microsoft Silverlight использовался для просмотра анимации, мультимедиа и графики, но сейчас эта штуковина уже не нужна. Поддержка Microsoft Silverlight прекратилась. Если вы обнаружили у себя этот компонент, смело удаляем. Вряд ли еще существуют сайты, которые связаны с Microsoft Silverlight.

    Все компоненты Toolbar

    Следует избегать дополнений, в которых имеется слово «Toolbar», например, Google Toolbar, Yandex Toolbar и прочее. Подобные дополнения только тормозят браузер и ничего полезного не несут. Конечно, если у вас иное мнение, то используйте на здоровье, либо удаляем весь ненужный хлам.

    Чистилки системы, которые бесполезны

    Существует такой тип программ, призванный очищать систему от различного мусора. Разработчики заверяют, что их продукт поднимет производительность вашего компьютера до небес, а на деле ничего, либо наоборот – резкое падение производительности, лаги, вылеты программ.

    Конечно, я не говорю про все программы такого типа. Например, очень хорошая утилита CCleaner, которая действительно помогает оптимизировать систему. Также подобные программы стоит использовать только при малом количестве, как внутренней памяти, так и оперативной, то есть на слабых ПК.

    Конечно, все компоненты Java еще не совсем умерли. Еще есть много приложений, которым нужен Java. Если вы не используете подобные программы, а всего лишь занимаетесь серфингом в интернете, просмотром фильмов и прослушиванием музыки, то смело удаляем Java.

    Если вы когда-либо установите утилиту, которой потребуется Java, то она об этом вам сообщит и вам придется скачать её и установить.

    Skype Click to Call

    Данное дополнение для Skype нужно только в том случае, если вы постоянно звоните на номера различных операторов. Если вы не используете эту возможность, то удаляем. Даже при использовании Skype отсутствие этого компонента никак не повлияет на его работу.

    QuickTime

    Утилиту эту лучше удалить, так как на Windows она не очень популярна. Тем более были обнаружены уязвимости, которые помогают удаленно запускать любой код на компьютере. Таким образом, это может быть использовано для хакеров. Конечно, атак подобного рода замечено почти не было, но кто знает, что будет потом.

    Хочу напомнить, QuickTime – разработка Apple, и они прекратили поддержку этой программы. Поэтому исправлять какие-либо уязвимости никто не будет. Да и зачем вам этот QuickTime, когда есть множество аналогов для просмотра видео.

    Встроенные утилиты производителей ноутбуков

    Обычно, когда вы только приобрели ноутбук, можно заметить на нем уже установленное программное обеспечение. Причем программы могут быть не именно от их компании, а сторонние, например, от Adobe. Чтобы определить, что можно удалить, а что оставить, воспользуйтесь программой Should I Remove It?. Она проверить ваш компьютер на наличие полезных и бесполезных программ.

    Internet Explorer

    Уже столько времени прошло со времен создания данного браузера, но просто так бы я этот пункт сюда не вписал. Дело в том, что еще остались приверженцы данного программного обеспечения. Даже Microsoft уже заменила свое детище на новый продукт Microsoft Edge, который намного лучше.

    В качестве альтернативы есть множество других браузеров: Google Chrome, Mozilla Firefox и другие. Только не используйте Амиго. Почему? Читаем в этой статье.

    uTorrent

    Древнейший торрент клиент, который прожил хорошую жизнь, но, к сожалению, его актуальность с каждым днем падает. Постоянные обновления, реклама и никчёмные дополнения, которые ничего не дают.

    Множество пользователей занимаются поиском другого торрент-клиента. Я могу предложить два неплохих варианта – BitTorrent и qBitTorrent. В первом есть наличие интересных фишек, которых нет в uTorrent, также он бесплатный. К сожалению, реклама есть во всех приведенных программах, но ниже дан пример, как её отключить.

    Windows Media

    Как только с этим мультимедиа инструментом не работали, вдохнуть в него жизнь не получается, а пользователи всё чаще ищут альтернативы. Их много, разобраться сложно. Поэтому ждите обзор, в котором я расскажу, какой плеер для просмотра видео или прослушивание музыки подойдёт больше всего.

    Итого

    Мы рассмотрели десять программ, использование которых не приукрасит вашу жизнь, не сделает работу за компьютером удобной, а только наоборот испортит всё впечатление. Все инструменты, указанные выше рекомендуется удалить. Если вы чем-то из этого пользуетесь, дело ваше, я всего лишь высказал своё мнение. Также читаем статью “Как удалить программу с компьютера с помощью утилит“. Там я обозреваю 12 утилит для удаления любого ПО с компьютера. Жду комментариев, как гневных, так и положительных.

    Насчет Майкрософт Сильверлайт согласен. Сейчас эта программа реально бесполезна и никому не нужна. Все браузеры работают стабильно и без нее. Некоторые программы, типа Internet Explorer можно отключить в настройках системы, удалять не обязательно. Тем более, она не висит в фоне, как многие другие программы.
    Вообще, если не хотите заморачиваться, установите тупо сборку Windows 10 LTSC или LTSB и будет вам счастье. Причем, с помощью специальных прог можно напрочь отключить слежку и ненужные службы. Система будет летать, отвечаю. Кому интересно про проги для оптимизации винды пишите в комменты, на почту все равно сообщение придет.

    Да, интересны такие проги оптимизации, посоветуешь?

    очень даже интересно про проги для оптимизации винды (и система будет летать)
    – хочу, надоело все эти ненужные программы

    Илья ! Ой-ли. Блажен кто верует.
    Ты говоришь что ты десятке хозяин? Это сам придумал или кто подсказал?
    Слежку отключишь -ой мечтатель. Специальными программами -ужас то какой.
    Милай ты там User Defaut—-пользователь по умолчанию.
    А хозяин там увы Microsoft да и ru-ru и ты там под полным колпаком. И позволят тебе ставить то что за что заплачено в….store.
    Так тебе “мечтатель-хозяин” скажу в Windows 10 2.4 мильена файлов в чистой без дров! ТАМ ТАКОЕ что лучше людей не пугать. Слышал там есть и свойства обозревателя и администрирование —и там если ковырять много чего.
    Для того чтобы ты понял милай кто ты есть возьми и попробуй прикрутить старенький принтер лазерный что из породы вечных к десятке вот тогда и поймешь кто ты. —-User по умолчанию,который может смотреть играть платить но свое НИ-НИ. Вот так.
    Ну а про каталог безопасности вообще молчу.
    Да и так в десятку без проблем можно другую систему засунуть-встречал.
    И слышал наверно все сейчас о Дос атаках кричат. Слыхал.
    Так вот в десятке напрочь нет ДОСа и он его не понимает,но есть эмулятор команд ДОСа который десятка не понимает но тупо выполняет. А этих фокусов в десятке “ну завались”.
    НАивный ты мальчик “система будет летать” господи. “Лятай” “Лятай милок” только так совет ты уж убери функцию сохранять в облаке (если сможешь) а то придешь домой а хата-то чужая.

    У эксперта бомбануло)) Дос атаки, надо же. DDOS – слыхали, а вот Дос атаки – это чьей больной фантазии детище?
    DDOS, кстати, к оболочке DOS (это та, у которой чёрное окно и белый курсор мигающий, если вдруг кто не в теме) никакого отношения не имеет. Вот вообще.
    А пафоса-то сколько. А знаков восклицательных

    Microsoft Silverlight – программная платформа (альтернатива Adobe Flash Player) в виде плагина для популярных веб-браузеров, который запускает различные интернет-приложения, содержащие анимацию, векторную графику, аудио и видео ролики и другие интерактивные элементы.

    Silverlight предлагает гибкую модель программирования, которая поддерживает языки AJAX, VB, C#, Python и Ruby, и легко интегрируется с существующими веб-приложениями.

    Платформа поддерживает быструю, экономически эффективную доставку до пользователей онлайн-видео высокого качества на всех основных браузерах, работающих на Mac OS или Windows.

    Пример использования
    Microsoft Silverlight необходим для работы “Виртуального киоска” в Comodo Internet Security.

    Троянское приложение для Android обходит проверки Google Bouncer

    Аналитики ESET обнаружили интересный метод скрытной атаки на пользователей Android, который содержит в себе интересную особенность. В магазине приложений Google Play нам удалось обнаружить несколько приложений, которые маскировались под легитимные, но на самом деле содержали в себе другое приложение с вредоносными функциями. Это встроенное приложение называлось systemdata или resourcea.

    Это второе приложение скрытно сбрасывается в память устройства из первого, но спрашивает у пользователя разрешение на установку. Оно представляется в качестве инструмента для управления настройками устройства «Manage Settings». После своей установки, приложение работает как служба в фоновом режиме.

    Антивирусные продукты ESET обнаруживают приложения, которые содержат в себе это дополнительное приложение как Android/TrojanDropper.Mapin. Согласно нашим данным, на долю Индии приходится наибольшее количество заражений устройств Android этим вредоносным ПО.

    Вредоносная программа представляет из себя бэкдор, который получает контроль над устройством и включает его в состав ботнета. Бэкдор использует специальный внутренний таймер для отложенного исполнения своей полезной нагрузки. Таким образом, авторы могут обмануть различные автоматические системы анализа файлов, которые могут причислить файл к подозрительным из-за его поведения. В некоторых случаях, бэкдор может ждать три дня прежде чем активировать полезную нагрузку. Скорее всего, такая мера позволяет авторам обойти механизмы проверки инструмента анализа файлов Google Bouncer, используемый Google для проверки загружаемых в Play приложений.

    После активации полезной нагрузки, троян запрашивает права администратора в системе и начинает взаимодействовать со своим C&C-сервером. Android/Mapin содержит в себе различные функции, например, отображение пользователю различных уведомлений, загрузка, установка и запуск других приложений, а также получение личной информации пользователя на устройстве. В то же время, основной его функцией является отображение fullscreen-рекламы на зараженном устройстве.

    Векторы распространения

    Вредоносные приложения были размещены в магазине приложений Google Play в конце 2013 г. и в 2014 г. Названия приложений были различными, включая, «Hill climb racing the game», «Plants vs zombies 2», «Subway suffers», «Traffic Racer», «Temple Run 2 Zombies», «Super Hero Adventure» разработчиков TopGame24h, TopGameHit и SHSH. Точные даты загрузки приложений были 24-30 ноября 2013 г. и 22 ноября 2014 г. Согласно статистике ресурса MIXRANK, приложение Plants vs zombies 2 было загружено более 10 тыс. раз перед его удалением из магазина. В то же самое время, приложения «System optimizer», «Zombie Tsunami», «tom cat talk», «Super Hero adventure», «Classic brick game», а также вышеупомянутые приложения Google Play с вредоносными возможностями, были загружены в альтернативные магазины приложений Android теми же авторами. Такой же бэкдор был обнаружен в комплекте с другими приложениями, которые были загружены в магазин разработчиком PRStudio (не путать с prStudio) в альтернативные магазины приложений со ссылками на Google Play. Данный разработчик загрузил как минимум и пять других троянских приложений в альтернативные магазины приложений: «Candy crush» или «Jewel crush», «Racing rivals», «Super maria journey», «Zombie highway killer», «Plants vs Zombies». Эти приложения все еще доступны для скачивания из этих магазинов. Перечисленные приложения были загружены пользователями сотни раз.


    Рис. Значки вредоносных приложений.


    Рис. Вредоносное приложение, которое получило достаточно положительных оценок.


    Рис. Еще одно приложение, получившее положительные оценки.

    Существуют различные варианты исполнения вредоносной программы после того, как пользователь загрузил нелегитимное приложение. Один из вариантов предполагает, что жертве будет предложено запустить файл с вредоносной программой спустя 24 после первого исполнения загруженного приложения. Такой метод является менее подозрительным для пользователя, который считает, что запрос на запуск поступил от ОС. Другой метод подразумевает под собой выдачу мгновенного запроса пользователю. Оба варианта рассчитаны на срабатывание после изменения подключения к сети, для этого вредоносная программа регистрирует т. н. broadcast receiver в манифесте.


    Рис. Регистрация т. н. broadcast receiver.

    После изменения подключения, пользователю будет предложено установить «системное приложение». Само сброшенное на устройство вредоносное приложение может называться «Google Play Update» или «Manage Settings».


    Рис. Вредоносное приложение маскируется под системное.

    В том случае, если пользователь выбирает отмену установки, то вредоносная программа будет показывать запрос каждый раз при смене сетевого подключения. Можно предположить, что простой пользователь будет уверен в серьезности отображаемого уведомления и в какой-то момент, скорее всего, нажмет кнопку установки только чтобы избавиться от него. После запуска троян исполняется в качестве сервиса со своим зарегистрированным broadcast receiver, ожидая изменения подключения.

    Когда такое изменение произойдет, троян попытается зарегистрировать себя с помощью сервиса Google Cloud Messages (GCM) для последующего получения сообщений. После этого, Android/Mapin попытается зарегистрировать зараженное устройство на сервере злоумышленников, отправляя туда такую информацию как имя пользователя, аккаунт Google, IMEI, регистрационный идентификатор (ID) и название своего пакета приложения.


    Рис. Процесс регистрации устройства на сервере злоумышленников.

    Для того, чтобы исключить возможность своего удаления из системы, троян требует от пользователя активировать режим администратора устройства.


    Рис. Предложение пользователю об активации режима администратора устройства.

    Троян сообщит на удаленный сервер об успешности активации режима администратора устройства. Как только такая операция произойдет, вредоносная программа будет показывать пользователю рекламу в полноэкранном режиме (interstitial). Такая реклама (interstitial ad) будет отображаться пользователю заново каждый раз при смене подключения. Разработка такого типа рекламы возможна с использованием легитимного AdMob SDK.


    Рис. Full-screen реклама (interstitial ad).

    Сетевое взаимодействие

    Троян взаимодействует со своим управляющим сервером используя сервис Google Cloud Messaging (GCM). Этот сервис все чаще используется современными вредоносными программами для своих целей, через него злоумышленники могут инструктировать бот на выполнение нужных им действий.


    Рис. Обрабатываемые ботом команды.

    Не все функции вредоносной программы полностью реализованы в ее коде, кроме этого, не все уже реализованные функции используются. Возможно, что сама угроза все еще находится на уровне разработки и будет улучшена в будущем. Как мы уже упоминали, ее основная цель заключается в доставке агрессивной full-screen рекламы для ее отображения пользователю, маскируясь под системное приложение. Бот также может быть использован злоумышленниками для установки другого вредоносного ПО на скомпрометированное устройство.

    Кроме показа рекламы, список выполняемых им вспомогательных функций достаточно обширен: изменение идентификатора publisher ID отображаемой рекламы, загрузка и запуск других приложений, отображение уведомлений пользователю, отключение режима администратора устройства, изменение адреса управляющего C&C-сервера, создание на домашнем экране Android ярлыков, которые ведут на URL-адреса загрузки приложений. После исполнения каждой задачи, полученной с помощью GCM, бот будет информировать об этом удаленный сервер с использованием протокола HTTPS.

    Троянская программа была успешно загружена в магазин Google Play, поскольку содержала в себе механизм отложенной активации вредоносных функций и, таким образом, не вызвала к себе подозрений со стороны инструмента Bouncer. Интересным вопросом является и то, почему Bouncer не специализируется на статическом анализе исполняемых файлов внутри загруженных приложений. По этим причинам троянская программа свободно распространялась пользователям через официальный магазин приложений Google для Android. Вредоносная игра «Super Hero adventure» была загружена в Play Store разработчиком SHSH. Вполне возможно, что этот разработчик загрузил больше приложений в магазин Play. В конечном счете, все они были удалены из магазина, но оставались незамеченными там в течение полутора лет. Возможно, что подобные случаи стали причиной того, что в марте 2015 г. Google объявила о том, что все приложения и обновления должны проходить проверку со стороны человека.

    Лучшей практикой для поддержания своего устройства в безопасности является использование только официального магазина приложений для их загрузки. Кроме этого, необходимо уделять внимание отзывам и комментариям пользователей к размещаемым там приложениям. При установке приложения следует внимательно следить за запрашиваемыми приложением правами. Если вы заметили что-либо подозрительное в поведении приложения, его можно отправить в качестве образца в антивирусную лабораторию с соответствующими комментариями о причинах отправки.

    Ниже представлена информация о проанализированных нами образцах вредоносной программы.