Недавно в официальном репозитории Microsoft Winget был обнаружен вредоносный форк популярной утилиты Zapret. Речь идет о проекте под названием Zapret 2 GUI (ID: loop-uh.Zapret2)(P.S. Сейчас вы его там уже не найдете).
Для тех, кто пропустил предысторию этого «чудо-софта», крайне рекомендую ознакомиться с разбором его «художеств» в этой статье. Если вкратце: под видом полезной утилиты пользователям скармливали стиллер, который устанавливал корневой сертификат (Root CA), перехватывал трафик и каждые 30 секунд сливал конфиденциальные данные в приватный Telegram-чат. А также можете посмотреть мой Issue на GitHub по теме этой программы.
Как это попало в Winget? К сожалению, автоматические проверки не всегда могут распознать сложный вредонос, особенно если он упакован или использует техники уклонения (Evasion). Заметив подозрительную активность пакета loop-uh.Zapret2, я незамедлительно поднял Issue в официальном репозитории microsoft/winget-pkgs Ссылка есть чуть выше.
В репорте были предоставлены неоспоримые доказательства: от логов установки левых сертификатов до конкретного разбора того, что делает это софтина и куда она что отправляет.
Итог: реакция модераторов (в частности, Stephen Gillie) не заставила себя ждать. После детального изучения предоставленных пруфов, вредоносный пакет был полностью удален из репозитория, а всё семейство подобных «форков» попало в черный список. По предварительным оценкам, это спасло от компрометации сотни тысяч, а возможно, и миллионы систем. Кстати, забавно, что автор (или не он) попытался через день добавить некий ZapretKVN запрос, на добавление которого был отклонен сами знаете по какой причине. (P.S Автор попытался вернуть свою программу loop-uh.Zapret2 В Winget. Я думаю, не нужно объяснять, что случилось)
Мой вам совет: никогда не доверяйте софту на 100%, даже если он находится в «доверенном» источнике.
Всегда проверяйте установщики на VirusTotal.
Используйте интерактивные песочницы (Hybrid Analysis, Triage, Any.Run) для анализа поведения файла в реальном времени.
Смотрите на отчеты MITRE ATT&CK. Если простой утилите внезапно требуется
Impair DefensesилиInput Capture— это огромный красный флаг.
Будьте бдительны. Безопасность — это не только антивирус, но и ваша внимательность.
Комментарии (26)

shikulja
08.05.2026 20:34Обидно что наживаются на актуальной проблеме. Бесплатно и так способов пробится в свободный интернет становится всё меньше.

PXStudioOpenSource Автор
08.05.2026 20:34Я не особо понял вашего комментария, то есть я наживаю на актуальной проблеме?
Прошу прощения, перечитал ваш комментарий еще раз и понял, что не так трактовал фразу. Согласен с вами — это действительно низко со стороны авторов вредоноса использовать такие важные инструменты для обмана людей

Onthar
08.05.2026 20:34А где тут вообще анализ, что это вредоносное ПО? Вы меня, конечно, извините, но с такими анализами явно не на хабр.
Хайпожоры, реально никто не ковырял этот zapret 2 gui. А я ковырял и пользуюсь уже давно. Вы не на вирустотал грузите, деятели, а динамический анализ на живой системе своими руками проводите.

PXStudioOpenSource Автор
08.05.2026 20:34@Onthar, я уважаю ваш опыт, но давайте по фактам. Пакет
loop-uh.Zapret2был удален из Winget модераторами Microsoft (Stephen Gillie) после предоставления логов и сетевого анализа.Основные претензии были не к самому коду "Запрета", а к тому, что конкретно этот бинарник тянул за собой установку левого Root CA и имел странную сетевую активность (запросы к Telegram API каждые 30 секунд). Если у вас чистая версия — отлично, но в репозитории лежал билд с "сюрпризом".
Все пруфы я приложил в Issue на GitHub (ссылка в основной статье). Модераторы Winget их подтвердили, это во первых. Во вторых если вы хотите прочитать реальный анализ то вот ссылка:https://habr.com/ru/articles/1015380/ я оставлял ее в статье просто скорее всего вы либо ее не заметили, либо по какой то причине даже не захотели туда зайти
Да и данный Zapret 2 GUI скриншотил экран каждые 30 секунд и отправлял скриншоты данных в приватный чат авторов этого самого Zapret 2 GUI
Вот доказательство:

Или вот, он пытается отключить стандартный защтник Windows. Доказательство:


Onthar
08.05.2026 20:34Да разработчик вооот такой талмуд с разжевываниями к каждой придирке уже постил в марте. Для чего там и сертификаты, и отключение дефендера и запросы. Ничего вредоносного там нет, иначе уже бы нашли не вот в таких разборах, а в последствиях на живых системах.

PXStudioOpenSource Автор
08.05.2026 20:34@Onthar, "разжевывания" от разработчика не отменяют того факта, что установка стороннего Root CA позволяет проводить MitM-атаку и читать любой трафик пользователя. В ИБ это оценивается по результату, а не по обещаниям автора.
Про "отсутствие последствий" — пакет был удален из Winget именно из-за подтвержденных рисков. Если для вас отправка скриншотов экрана в Telegram-бот каждые 30 минут — это нормальная функция, то нам просто не о чем спорить. У нас разные понятия о безопасности.
И напоследок: то, что вы на Хабре с 2009 года, не дает вам права хейтить посты с реальными пруфами. Уважайте чужой труд и безопасность пользователей, а не оправдывайте сомнительный софт.
И корневой сертификат для полного управления системой. никто просто ставить не будет. Ни для каких "обходов блокировок" это не нужно от слова совсем, одной фразой:хотите верьте хотите нет. И если вы такой "ИБ- аналитик" то покажите где нибудь как вы его лично проверяли на реальной системе, или доказательства отсутствия вирусов, просто я все свои пруфы приложил, а вы пока только пересказываете мнение разработчика которому вы почему то верите) Вот доказательства того что я действительно проводил анализ в Issue на гитхабе, а так же то что модераторы подтвердили вредоносность

И кстати, интересно что вы на меня напали просто без причины, просто начали резко хейтить мои статьи, это вы решили "поучить жизни новичка на хабре"? Я скажу так, я давно уже не просто новичок. Да мои статьи вышли недавно, вы просто начали придираться, суть придирки? Объясните. Да даже если и объясните (но шанс мал) то нам в любом случае спорить дальше не стоит. Я привел все пруфы

izhXX
08.05.2026 20:34Мультиаккинг, сомнительные статьи. Забавно, что все они строго после регистрации и строго про одну вещь)))

PXStudioOpenSource Автор
08.05.2026 20:34Какой мультиаккинг? Проект сейчас на хайпе из-за замедлений сервисов, естественно, что несколько человек одновременно заглянули под капот и ужаснулись. Это не мультиаккинг, это коллективный иммунитет сообщества . А кстати, если мои статьи для вас "сомнительные" то какие же для вас нормальные?

izhXX
08.05.2026 20:34Возможно вы и разные люди, не буду спорить. Только вот это не отменяет того, что статья – попытка хайпа и ничего не несёт в себе. Оригинал вообще муть мутная. А ещё это не "иммунитет сообщества", а хрень. Репо примерно год, но спохватились все сейчас. Верим.
Кстати, глупо изменять комментарий и минусовать. Оригинал всегда есть в мыле))
Какой мульти аккинг? И во первых, я один раз пытался опубликовать статью но ее отклонили потому что она была мало информативна, и про что мне еще по вашему публиковать?

PXStudioOpenSource Автор
08.05.2026 20:34Ну во первых, с чего вы решили что статья попытка хайпа, обоснуйте. Выслушаю. Во вторых Обосновать "хайп" очень просто: тема безопасности Winget и популярных инструментов сейчас критически важна. Если бы я хотел просто «хайпануть», я бы написал пост в соцсетях. Я же потратил время на анализ, оформление Issue в Microsoft и добился удаления вредоноса.
По поводу того, что "спохватились сейчас": софт стал массовым именно из-за замедлений YouTube/Discord. Больше пользователей — больше внимания исследователей. Это и есть нормальный процесс работы ИБ-сообщества.
Предлагаю закончить обсуждение моей личности и вернуться к техническим деталям: у вас есть что сказать по поводу найденных в коде Root CA и функций отправки скриншотов?

PXStudioOpenSource Автор
08.05.2026 20:34Странно слышать от пользователя Хабра, что время жизни репозитория — это гарантия безопасности. Малварь в Winget (loop-uh.Zapret2) появилась недавно на волне массового спроса. ИБ-сообщество реагирует на угрозы, а не на возраст аккаунта на GitHub. Если вы считаете, что год — это срок для доверия, то у меня плохие новости для вашей системы безопасности.
Статья несет в себе отчет об удалении вредоноса из официального репозитория MS Winget. Если для вас очистка глобальных инструментов от стиллеров — это "ничего", то что тогда для вас "что-то"? А кстати вы так и не ответили на мой вопрос, какие статьи для вас тогда нормальные?

ImagineTables
08.05.2026 20:34Смотрите на отчеты MITRE ATT&CK. Если простой утилите внезапно требуется Impair Defenses или Input Capture — это огромный красный флаг.
А можно подробнее? Спасибо.

PXStudioOpenSource Автор
08.05.2026 20:34Смотрите, на том же VirusTotal когда заливаете файл есть кнопочка Behavior

Нажимаем на эту кнопку После того как нажали, листаем чуть ниже,и видим вот эту надпись:

и там расписывается что делает программа,

ну вот к примеру, модификация реестра, это может быть как опасно так и нет

MEGA_Nexus
08.05.2026 20:34Человек вроде старался, беспокоился за безопасность пользователей, а его как-то прохладно встретили. Вот так и пропадает вера в человечество и желание кому-либо помогать.

PXStudioOpenSource Автор
08.05.2026 20:34Спасибо за поддержку. самому очень обидно если четсно, но не за себя. А за то, что в ИБ-сообществе на Хабре обсуждение личности автора вдруг стало важнее обсуждения Root CA и кражи данных. Это странные приоритеты для профильного ресурса

a3or
08.05.2026 20:34Просто представьте, что хейтят вас те, кто этот софт писал/распространял/наживался. И сразу
всё встанет на свои месталегче станет;)

KseandI
08.05.2026 20:34По предварительным оценкам, это спасло от компрометации сотни тысяч, а возможно, и миллионы систем
По предварительным оценкам, я, просыпаясь каждый день, спасаю всё человечество от неминуемой гибели как минимум три раза за сутки. Наверное надо про это статью на хабре написать…

PXStudioOpenSource Автор
08.05.2026 20:34Ну во первых если вам что то не нравится не пишите, это первое. Второе, мои действия реально спасли многие системы. Вы наверняка не пользовались тем же Winget)

KseandI
08.05.2026 20:34если вам что то не нравится не пишите
Простите меня, с сегодняшнего дня буду только писать хвалу вам! По глупости своей забыл, что комментарии в хабре нужны исключительно для ублажения автора и что не место тут для критического анализа статьи.
мои действия реально спасли многие системы
И многие - это явно миллионы? Процент от всего населения РФ или всё IT сообщество в России по данным минцифр, если что. То есть в среднем это примерно каждый 50-ый случайный встречный должен был ставить именно этот обход блокировок и именно через winget.
Внимание, вопрос: Сколько людей из вашего окружения вообще знают про winget и как им пользоваться?
Вы наверняка не пользовались тем же Winget
Пользовался. Возможно слишком мало пользовался, чтобы заметить, что он автоматически устанавливает “запрет 2 гуй обход блокировок ютуб разблокировать.msi”, автоматически запускает его и прожимает абсолютно все галочки в установке.
Я до этой статьи всегда думал, что winget - это пакетный менеджер такой и там ты выбираешь пакеты, которые хочешь установить.
PXStudioOpenSource Автор
Наконец то я дождался одобрения от модераторов
umbral
Что делать не так-то и просто? Спасать компьютеры миллионов пользователей?
PXStudioOpenSource Автор
Да, по сути это реально не так то просто делается, скажу так. Мне пришлось довольно долго ждать анализа в анадизаторах, а так же убедиться в том что это вредонос