Программа учета заказов и клиентов автосервиса Менеджер СТО инструмент менеджера автосервиса для планирования и предварительной записи. Менеджер Сто Торрент' title='Менеджер Сто Торрент' />Менеджер загрузок Xunlei используется для скрытой установки приложений Android Блог компании ESET NOD3. Хабрахабр. В этом посте мы публикуем информацию о потенциально нежелательном ПО Potentially Unwanted Application, PUA, компоненты которого обнаруживаются ESET как Win. Kankan. Эти компоненты реализованы в менеджере загрузок Xunlei. Мы обратили внимание на это ПО из за следующих интересных особенностей Для обеспечения своей скрытности и выживаемости в системе это ПО регистрирует один из своих компонентов как плагин для Microsoft Office. Обнаруженный вредоносный код осуществляет установку приложений для устройств под управлением Android, которые подключены к компьютеру через USB, без ведома пользователя. Win. 32Kankan содержит код для обнаружения специальных системных инструментов, которые анализируют его поведение в системе. Файлы Xunlei, которые содержат этот вредоносный код, подписаны цифровой подписью, принадлежащей китайской компании Xunlei Networking Technologies разработчик Xunlei. История. История Win. Kankan началась в июне прошлого года, когда на нескольких китайских форумах появились жалобы на подозрительную программу, подписанную компанией Xunlei Networking Technologies. Компания, о которой идет речь, занимается разработкой ПО Xunlei, которое используется для ускорения скачивания файлов download manager. Xunlei похож на менеджер загрузок Orbit Downloader, историю с которым мы публиковали раньше. Популярность Xunlei объясняется тем, что эта программа кроме возможности ускоренной закачки файлов позволяет пользователю искать необходимые файлы в сети и потом загружать их оптимизированным способом торрент клиент. У программы есть сформированная база адресов различных файлов. Когда нужно скачать тот или иной файл, Xunlei использует браузер или торрент клиент таким образом, чтобы на загрузку потребовалось минимально возможное время. Для реализации подобной возможности компания Xunlei Networking Technologies встроила в ПО поисковый движок для файлов, торрент клиент с поддержкой различных протоколов, собственный p. Более подробное описание Xunlei можно найти здесь. Скачать Супер менеджер 1. RuTracker заблокирован, но количество скачиваемых торрентов не. Мент совершенно спокойно может ездить на машине за сто тысяч долларов. Просто власти очень крутые менеджеры и умеют балансировать, не. В компанию Омега Сервис, СТО требуется Менеджер по продажам запчастей. Работа в Киеве, зарплата 8000 грн, полная занятость. Этот менеджер загрузок является очень популярным у китайских пользователей. Исследование Torrent. Freak, опубликованное в 2. В то время как для u. Torrent максимальным количеством пользователей было 9. Нужно отметить, что Xunlei является локальным продуктом для китайского рынка, так как на официальном сайте отсутствует другой язык кроме китайского, а перевод самого интерфейса ПО на другие языки выполнен сторонними компаниями или самими пользователями. Анализ. Выше мы упоминали, что некоторые китайские пользователи обнаружили на своих компьютерах подозрительные файлы, подписанные сертификатом Xunlei Networking Technologies. Сертификат показан ниже. Рис. Сертификат, которым подписаны вредоносные файлы. Эти файлы принадлежали инсталлятору Windows installer, имя которого было INPEnh. Setup. exe. Он основан на системе дистрибутивов Nullsoft Scriptable Install System. В процессе установки инсталлятор связывается с доменом kkyouxi. Затем осуществляется установка в систему трех файлов INPEn. Инструкция Гарантерм Gtr 200 V подробнее. INPEnh. UD. exe и INPEnh. Svc. exe. После этого библиотека INPEn. Dll. Register. Server. Далее установщик снова связывается с kkyouxi. Исполнение кода в INPEn. Input. Enhance для Word, Excel и Power. Point. Для выполнения этой операции он создает разделы реестра в соответствующем расположении, что позволяет библиотеке INPEnh. Office. Ниже представлены некоторые из этих ключей реестра. Рис. Раздел реестра, через который вредоносная DLL осуществляет свою загрузку. На скриншоте видно, что параметр Load. Behavior установлен в значение 3. Так, плагин будет загружаться каждый раз при запуске приложения. Таким образом, авторы вредоносного кода обеспечивают его выживаемость после перезагрузки и последующий запуск. Каждый раз, когда запускается приложение из состава Microsoft Office напр., Word, Excel или Power. Point, эта библиотека загружается в память как плагин. Для пользователя подобное действие является абсолютно прозрачным, то есть он его не видит. INPEn. dll незаметно для пользователя выполняет следующие действия Скачивает с удаленного сервера файл конфигурации tools. Файл содержит различные параметры, например, список имен различных системных инструментов, который закодирован алгоритмом base. Ниже представлен этот файл. Проверяет запущен ли какой либо процесс из списка, который представлен в файле конфигурации. Если запущен, библиотека прекращает свою работу. Список приложений одного из файлов конфигурации приведен ниже. Видно, что он содержит имена процессов инструментов анализа и отладки Windows task manager, Olly Debugger, MS Process Monitor, Wireshark и др., а не названия процессов антивирусных продуктов. Таким образом, очевидно, что авторы встроили в библиотеку код, который помогает избежать анализа поведения программы или обнаружение ее активности в системе. Проверяет активно ли соединение с интернет, пытаясь связаться с известными китайскими ресурсами, например, baidu. В случае отсутствия подключения к сети, код переходит в цикл ожидания такого подключения. Если все предыдущие проверки успешно пройдены, плагин посылает на сервер Stat. Server см. Затем выполняется запуск INPEnh. UD. exe. Далее код входит в цикл обработки различных задач, которые мы опишем далее. Он извлекает из своего кода жестко зашитый адрес xml файла update. Рис. Часть файла обновлений, который используется для загрузки новых исполняемых файлов кодом Xunlei. Видно, что этот xml файл содержит список URL адресов, указывающих на различные исполняемые файлы и их хэши MD5. Файлы из этого списка будут загружены апдейтером на компьютер и после проверки MD5 исполнены. Когда эти действия будут выполнены, код апдейтера запускает исполняемый файл INPEnh. Svc. exe, который мы называем сервисом. Этот INPEnh. Svc. Xunlei и может выполнять различные удаленные команды. После выполнения тех же проверок на наличие инструментов отладки и анализа, которые мы видели в предыдущем модуле, он скачивает файл конфигурации XML, который может содержать различные команды. Они могут быть разбиты на две группы. Как следует из названия, локальные команды реализуются самим кодом сервиса без использования загрузок по сети scanreg осуществляет поиск определенного раздела реестра и сообщает о его присутствии или отсутствии по адресу Stat. Server, scandesktop и scanfavorites ищут специальные файлы ярлыков. Избранное соответственно. Если сервис получает удаленную команду, то он взаимодействует с плагином Office описан выше, который отвечает за исполнение этой возможности. Такое взаимодействие происходит через файл конфигурации, который называется tasklist. Doing, Done, Done. By. Data. Оба исполняемых файла содержат список идентификаторов GUID, каждый из которых ассоциируется с конкретной задачей. Процесс взаимодействия между этими модулями выглядит следующим образом Когда сервис получает удаленную команду, он записывает нужный GUID в секцию Doing с необходимыми параметрами напр., URL адрес. Библиотека, которая была зарегистрирована как плагин Office, читает этот GUID. Затем проверяет присутствие такого GUID в секциях Done и Done. By. Date файла tasklist. В случае, если команда еще не была исполнена, т. Кроме этого, значения GUID для команд installpcapp и installphoneapp также записываются в секцию Done. By. Date. Вероятно, это сделано для последующего повторного исполнения этих команд. Синие прямоугольники представляют процессы, а желтые файлы. Удаленные команды не нуждаются в дополнительных объяснениях, поскольку их названия говорят сами за себя. Исключение составляет команда installphoneapp, которую мы рассмотрим более подробно. Приложения для мобильного устройства. Команда installphoneapp, как следует из названия, используется для загрузки мобильного приложения с удаленного сервера и его последующей установки на мобильное устройство под управлением Android APK файл. Для выполнения этой задачи сервис скачивает приложение Android Debug Bridge ADB, которое является частью Android SDK.