fodcleanuptask что это за программа
990x.top
Простой компьютерный блог для души)
FaceFodUninstaller.exe — что это за процесс? (FODCleanupTask, WinBioPlugIns)
Приветствую друзья. Сегодня постараемся выяснить предназначение процесса FaceFodUninstaller.exe, что за файл, возможно опасный или компонент полезной программы.
FaceFodUninstaller.exe — что это такое?
Системный компонент OS Windows, отвечает за работоспособность функции разблокировки по лицу.
Сразу можно сделать вывод: данный компонент необходим, если вы используете функцию разблокировки на ПК, для этого необходимо присутствие веб-камеры (может быть встроенной на ноутбуке).
Компонент присутствует в операционке Windows начиная с билда 1803.
Запускаться может также через планировщик задач, а точнее — заданием FODCleanupTask. Кстати, открыть быстро планировщик задач можно так:
FaceFodUninstaller.exe — вирус?
Как выяснили — нет. Однако найдена информация в интернете, существует некий вирус, который внедряется в файл FaceFodUninstaller.exe с целью снизить обнаружение антивирусами. Кроме этого в папку файла, точнее в WinBioPlugins, помещается также вредоносная библиотека WinBio.dll:
Дальнейшие действия
При подозрениях на присутствие вируса:
Кстати вот результат проверки библиотеки WinBio.dll:
9 антивирусов из 68 — видят угрозу, хотя по факту библиотека вирусная.
Управление по защите данных Германии: телеметрия в Windows 10 1909 Enterprise может быть полностью отключена
Телеметрия давно стала горячо обсуждаемой темой с момента, когда Microsoft выпустил первую версию Windows 10. Microsoft решил глубоко интегрировать сбор данных в операционную систему — да так глубоко, что у пользовательских выпусков Windows 10 Home и Windows 10 Pro не было опции по полному отключению телеметрии.
Даже выпуски Enterprise и Education включали в себя телеметрию, но шли со специальной настройкой, предназначенной только для этих выпусков.
Пользователи выпусков Home и Pro могут выбирать между «Полные данные» (Full) и «Базовая настройка» (Basic) уровнями телеметрии. Базовый ограничивает передачу информации в Microsoft, но не блокирует отправку полностью. У выпусков Enterprise и Education есть параметр телеметрии «Безопасность» (Security), который значительно ограничивает сбор и передачу данных.
Государственное управление по надзору за защитой данных Баварии опубликовало отчет о своей деятельности за 2019 год. Отчет содержит информацию об анализе сбора данных Windows 10 Enterprise версии 1909.
Настройка теста была идентична другим тестам, проводимым для выяснения данных, отправляемых Windows 10. В лаборатории была установлена Windows 10 Enterprise версии 1909, а весь трафик системы как входящий, так и исходящий, был записан и проанализирован.
Уровень телеметрии устройства с Windows 10 был установлен на «Безопасность» (Security), а инструменты/настройки, предоставляемые Microsoft, использовались для устранения действий телеметрии.
Управление обнаружило, что в лабораторных условиях можно полностью отключить отправку телеметрических данных на компьютерах под управлением Windows 10 Enterprise (и Education) версии 1909.
Согласно заявлению управления, результаты тестирования должны быть проверены в реальных условиях. Телеметрия не станет препятствием в отношении защиты данных в системах под управлением Windows 10 Enterprise или Education, если реальные испытания это подтвердят.
Управление отмечает, что для систем Windows 10 Pro (и Home) ситуация иная, поскольку в этих выпусках сбор данных нельзя полностью отключить.
P.S. Лично я «борюсь» с телеметрией таким способом. Взято отсюда.
Также с сайта автора статьи: сравнение всех программ для отключения телеметрии
Хак-группа FIN7 распространяет обновленный бэкдор Carbanak при помощи загрузчика BIOLOAD
Xakep #271. Сила четырех байтов
Специалисты Fortinet заметили, что хак-группа FIN7 с недавних пор использует новый загрузчик, BIOLOAD, похожий на другой загрузчик группы, BOOSTWRITE, однако имеющий более низкую степень обнаружения. С его помощью злоумышленники распространяют обновленные версии бэкдора Carbanak, датированные январем и апрелем 2019 года.
Напомню, что группа FIN7 активна с середины 2015 года. Ее участников подозревают в атаках на американские компании из сегмента ритейла, а также ресторанно-гостиничного бизнеса. FIN7 активно сотрудничает с группой Carbanak: злоумышленники обмениваются инструментами и методами атак, в результате чего между группировками можно поставить своеобразный «знак равенства». Невзирая на арест лидеров FIN7, произведенный в августе 2018 года, атаки группы по-прежнему продолжаются.
Исследователи Fortinet пишут, что BIOLOAD, равно как и BOOSTWRITE, использует технику, которую называют binary planting, то есть он злоупотребляет легитимной функциональностью Windows в поисках DLL, необходимых для загрузки программ. Так, в последнее время вредоносные DLL обнаруживаются в составе FaceFodUninstaller.exe, файла, присутствующего в ОС сразу после установки (в Windows 10 1803 и далее). Этот исполняемый файл привлекает злоумышленников еще и потому, что он запускается из запланированной задачи FODCleanupTask, что позволяет дополнительно снизить степень обнаружения.
Атакующие помещают вредоносный WinBio.dll в папку \System32\WinBioPlugIns, где по идее располагается легитимный DLL winbio.
Согласно анализу Fortinet, образцы BIOLOAD датированы матом и июлем 2019 года, тогда как BOOSTWRITE датирован маем текущего года. Хотя загрузчик существует уже по меньшей мере девять месяцев, согласно VirusTotal, его пока обнаруживают далеко не все защитные решения.
Помимо сходств исследователи обнаружили и некоторые различия между загрузчиками. К примеру, BIOLOAD не поддерживает работу с несколькими пейлоадами, а также для расшифровки полезной нагрузки используется XOR вместо ChaCha. Кроме того, BIOLOAD не обращается к удаленному серверу за ключом дешифрования, так как ключ кастомизируется для каждой системы-жертвы и напрямую связан с ее именем.
В свою очередь, обновленные образцы Carbanak отчаются тем, что проверяют зараженную машину на присутствие большего числа различных антивирусных решений (раньше малварь искала только продукты Kaspersky, AVG и TrendMicro).
Также аналитики отмечаю, что FIN7 активно разрабатывает инструменты для удаления своей малвари с зараженных машин. И если BIOLOAD использовался для загрузки Carbanak, то более BOOSTWRITE также применялся для доставки RDFSNIFFER, инструмента удаленного доступа, который используется для компрометации NCR Aloha Command Center Client и взаимодействия с системами-жертвами в рамках легитимных сессий, защищенных 2ФА.