FaceFodUninstaller.exe — что это за процесс? (FODCleanupTask, WinBioPlugIns)
Приветствую друзья. Сегодня постараемся выяснить предназначение процесса FaceFodUninstaller.exe, что за файл, возможно опасный или компонент полезной программы.
FaceFodUninstaller.exe — что это такое?
Системный компонент OS Windows, отвечает за работоспособность функции разблокировки по лицу.
Сразу можно сделать вывод: данный компонент необходим, если вы используете функцию разблокировки на ПК, для этого необходимо присутствие веб-камеры (может быть встроенной на ноутбуке).
Компонент присутствует в операционке Windows начиная с билда 1803.
Запускаться может также через планировщик задач, а точнее — заданием FODCleanupTask. Кстати, открыть быстро планировщик задач можно так:
- Зажмите Win + R, появится окошко Выполнить, вставьте команду taskschd.msc, нажмите ОК.
- Далее появится окно. Здесь слева нужно выбрать раздел Библиотека, внутри которого будет задание.
FaceFodUninstaller.exe — вирус?
Как выяснили — нет. Однако найдена информация в интернете, существует некий вирус, который внедряется в файл FaceFodUninstaller.exe с целью снизить обнаружение антивирусами. Кроме этого в папку файла, точнее в WinBioPlugins, помещается также вредоносная библиотека WinBio.dll:
Дальнейшие действия
При подозрениях на присутствие вируса:
- Проверить файл FaceFodUninstaller.exe на сервисе VirusTotal. Файл будет проверен многими антивирусными движками, поможет определить уровень опасности.
- Просканировать ПК инструментами против рекламных/опасных вирусов. Рекомендовано использовать три лучшие утилиты — AdwCleaner, HitmanPro, Dr.Web CureIT (первые две против рекламных угроз, последняя против опасных вирусов, например трояны, ботнеты, майнеры).
- При отсутствии антивируса — установить пробную версию Kaspersky Total Security, запустить глубокое сканирование ПК.
Кстати вот результат проверки библиотеки WinBio.dll:
Заключение
- FaceFodUninstaller.exe — системный компонент, является частью Windows, отвечает за работу функции разблокировки по лицу (когда ПК заблокирован).
- Также в данный компонент может внедрятся вирус, поэтому при подозрениях — просканируйте ПК антивирусными утилитами, а также проверьте файл FaceFodUninstaller.exe на портале VirusTotal.
Хак-группа FIN7 распространяет обновленный бэкдор Carbanak при помощи загрузчика BIOLOAD
Рекомендуем почитать:
Xakep #292. Flipper Zero
- Содержание выпуска
- Подписка на «Хакер» -60%
Специалисты Fortinet заметили, что хак-группа FIN7 с недавних пор использует новый загрузчик, BIOLOAD, похожий на другой загрузчик группы, BOOSTWRITE, однако имеющий более низкую степень обнаружения. С его помощью злоумышленники распространяют обновленные версии бэкдора Carbanak, датированные январем и апрелем 2019 года.
Напомню, что группа FIN7 активна с середины 2015 года. Ее участников подозревают в атаках на американские компании из сегмента ритейла, а также ресторанно-гостиничного бизнеса. FIN7 активно сотрудничает с группой Carbanak: злоумышленники обмениваются инструментами и методами атак, в результате чего между группировками можно поставить своеобразный «знак равенства». Невзирая на арест лидеров FIN7, произведенный в августе 2018 года, атаки группы по-прежнему продолжаются.
Исследователи Fortinet пишут, что BIOLOAD, равно как и BOOSTWRITE, использует технику, которую называют binary planting, то есть он злоупотребляет легитимной функциональностью Windows в поисках DLL, необходимых для загрузки программ. Так, в последнее время вредоносные DLL обнаруживаются в составе FaceFodUninstaller.exe, файла, присутствующего в ОС сразу после установки (в Windows 10 1803 и далее). Этот исполняемый файл привлекает злоумышленников еще и потому, что он запускается из запланированной задачи FODCleanupTask, что позволяет дополнительно снизить степень обнаружения.
Атакующие помещают вредоносный WinBio.dll в папку \System32\WinBioPlugIns, где по идее располагается легитимный DLL winbio.
Согласно анализу Fortinet, образцы BIOLOAD датированы матом и июлем 2019 года, тогда как BOOSTWRITE датирован маем текущего года. Хотя загрузчик существует уже по меньшей мере девять месяцев, согласно VirusTotal, его пока обнаруживают далеко не все защитные решения.
Помимо сходств исследователи обнаружили и некоторые различия между загрузчиками. К примеру, BIOLOAD не поддерживает работу с несколькими пейлоадами, а также для расшифровки полезной нагрузки используется XOR вместо ChaCha. Кроме того, BIOLOAD не обращается к удаленному серверу за ключом дешифрования, так как ключ кастомизируется для каждой системы-жертвы и напрямую связан с ее именем.
В свою очередь, обновленные образцы Carbanak отчаются тем, что проверяют зараженную машину на присутствие большего числа различных антивирусных решений (раньше малварь искала только продукты Kaspersky, AVG и TrendMicro).
Также аналитики отмечаю, что FIN7 активно разрабатывает инструменты для удаления своей малвари с зараженных машин. И если BIOLOAD использовался для загрузки Carbanak, то более BOOSTWRITE также применялся для доставки RDFSNIFFER, инструмента удаленного доступа, который используется для компрометации NCR Aloha Command Center Client и взаимодействия с системами-жертвами в рамках легитимных сессий, защищенных 2ФА.
Разговоры на компьютерную тему
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.
Недавно просматривали 1 пользователь
Учимся моддингу
- Уроки по модострою
- Все о скриптах
- Работа с файлами ТЧ
- Редактирование движка X-Ray
- Язык программирования Lua
- SDK (ТЧ)
- SDK (ЗП)
- Вопросы маппинга
- GUI и графика
- Моделирование
- Напарники для модостроительства
- . и многое другое
Играем в моды на ТЧ
- Народная Солянка 2016
- Диетическая Солянка 2016
- OGSR Mod
- DSH
- ОП-2.1
- Новый Арсенал 6: Революция
- Судьба Зоны
- Lost Alpha
- NLC 7
- В аду. ПСЫ
- Последний Сталкер
- . и другие моды
Играем в моды на ЧН и ЗП
- [ЧН] OGSM CS 1.8 CE Fixes
- [ЧН] HARDWARMOD 3.2
- [ЗП] The Long Road
- [ЧН] New vision of War
- [ЧН] Old Good Stalker Mod — Clear Sky
- [ЗП] Unofficial Patch
- [ЗП] Смерти вопреки
- [ЗП] Контракт на хорошую жизнь
- [ЗП] Shoker Weapon Mod 2.1
- [ЗП] Hardcore pack for SGM 2.2
- [ЗП] Контракт Синдиката
- [ЗП] Клондайк 2.0
- . и другие моды
Полезное и разное
- Ищу файлы/моды/аддоны
- Оружие для ТЧ
- Модели НПС для ТЧ
- Модели персонажей для ЧН
- Модели сталкеров для ЗП
- Модели оружия для ЗП
- Инструментарий для мододелов
- X-Ray Extensions
- Справочник вылетов
- Prosectors Project (разработка)
- Игра Left To Die
- . и другие игры
Вливаемся в сообщество
- AMK-Team.ru (Сайт)
- Все форумы
- Администрация
- Кураторы тем
- Вопросы по форуму
- Обсуждаем хард и софт
- Болтаем у костра
- Дискутируем в клубах
- Следим за стримами
- Читаем книги
- Слушаем музыку
- Смотрим кино
AMK-Team.ru
- Правила форума
- Политика конфиденциальности
- Связь с администрацией
- Основание AMK MOD — 28.03.2007. Основание форума AMK TEAM — 25.02.2008
2007-2023 © AMK TEAM
При подготовке материала использовались источники:
https://990x.top/facefoduninstaller-exe-chto-eto-za-protsess-fodcleanuptask-winbioplugins-2020.html
https://xakep.ru/2019/12/30/fin-7-bioload/
https://www.amk-team.ru/forum/topic/12286-razgovory-na-kompjuternuju-temu/page/48/