Недавно в официальном репозитории Microsoft Winget был обнаружен вредоносный форк популярной утилиты Zapret. Речь идет о проекте под названием Zapret 2 GUI (ID: loop-uh.Zapret2)(P.S. Сейчас вы его там уже не найдете).

Для тех, кто пропустил предысторию этого «чудо-софта», крайне рекомендую ознакомиться с разбором его «художеств» в этой статье. Если вкратце: под видом полезной утилиты пользователям скармливали стиллер, который устанавливал корневой сертификат (Root CA), перехватывал трафик и каждые 30 секунд сливал конфиденциальные данные в приватный Telegram-чат. А также можете посмотреть мой Issue на GitHub по теме этой программы.

Как это попало в Winget? К сожалению, автоматические проверки не всегда могут распознать сложный вредонос, особенно если он упакован или использует техники уклонения (Evasion). Заметив подозрительную активность пакета loop-uh.Zapret2, я незамедлительно поднял Issue в официальном репозитории microsoft/winget-pkgs Ссылка есть чуть выше.

В репорте были предоставлены неоспоримые доказательства: от логов установки левых сертификатов до конкретного разбора того, что делает это софтина и куда она что отправляет.

Итог: реакция модераторов (в частности, Stephen Gillie) не заставила себя ждать. После детального изучения предоставленных пруфов, вредоносный пакет был полностью удален из репозитория, а всё семейство подобных «форков» попало в черный список. По предварительным оценкам, это спасло от компрометации сотни тысяч, а возможно, и миллионы систем. Кстати, забавно, что автор (или не он) попытался через день добавить некий ZapretKVN запрос, на добавление которого был отклонен сами знаете по какой причине. (P.S Автор попытался вернуть свою программу loop-uh.Zapret2 В Winget. Я думаю, не нужно объяснять, что случилось)

Мой вам совет: никогда не доверяйте софту на 100%, даже если он находится в «доверенном» источнике.

  1. Всегда проверяйте установщики на VirusTotal.

  2. Используйте интерактивные песочницы (Hybrid Analysis, Triage, Any.Run) для анализа поведения файла в реальном времени.

  3. Смотрите на отчеты MITRE ATT&CK. Если простой утилите внезапно требуется Impair Defenses или Input Capture — это огромный красный флаг.

Будьте бдительны. Безопасность — это не только антивирус, но и ваша внимательность.

Комментарии (26)


  1. PXStudioOpenSource Автор
    08.05.2026 20:34

    Наконец то я дождался одобрения от модераторов


    1. umbral
      08.05.2026 20:34

      Что делать не так-то и просто? Спасать компьютеры миллионов пользователей?


      1. PXStudioOpenSource Автор
        08.05.2026 20:34

        Да, по сути это реально не так то просто делается, скажу так. Мне пришлось довольно долго ждать анализа в анадизаторах, а так же убедиться в том что это вредонос


  1. shikulja
    08.05.2026 20:34

    Обидно что наживаются на актуальной проблеме. Бесплатно и так способов пробится в свободный интернет становится всё меньше.


    1. PXStudioOpenSource Автор
      08.05.2026 20:34

      Я не особо понял вашего комментария, то есть я наживаю на актуальной проблеме?

      Прошу прощения, перечитал ваш комментарий еще раз и понял, что не так трактовал фразу. Согласен с вами — это действительно низко со стороны авторов вредоноса использовать такие важные инструменты для обмана людей


  1. Onthar
    08.05.2026 20:34

    А где тут вообще анализ, что это вредоносное ПО? Вы меня, конечно, извините, но с такими анализами явно не на хабр.

    Хайпожоры, реально никто не ковырял этот zapret 2 gui. А я ковырял и пользуюсь уже давно. Вы не на вирустотал грузите, деятели, а динамический анализ на живой системе своими руками проводите.


    1. PXStudioOpenSource Автор
      08.05.2026 20:34

      @Onthar, я уважаю ваш опыт, но давайте по фактам. Пакет loop-uh.Zapret2 был удален из Winget модераторами Microsoft (Stephen Gillie) после предоставления логов и сетевого анализа.

      Основные претензии были не к самому коду "Запрета", а к тому, что конкретно этот бинарник тянул за собой установку левого Root CA и имел странную сетевую активность (запросы к Telegram API каждые 30 секунд). Если у вас чистая версия — отлично, но в репозитории лежал билд с "сюрпризом".

      Все пруфы я приложил в Issue на GitHub (ссылка в основной статье). Модераторы Winget их подтвердили, это во первых. Во вторых если вы хотите прочитать реальный анализ то вот ссылка:https://habr.com/ru/articles/1015380/ я оставлял ее в статье просто скорее всего вы либо ее не заметили, либо по какой то причине даже не захотели туда зайти

      Да и данный Zapret 2 GUI скриншотил экран каждые 30 секунд и отправлял скриншоты данных в приватный чат авторов этого самого Zapret 2 GUI

      Вот доказательство:

      Или вот, он пытается отключить стандартный защтник Windows. Доказательство:


  1. Onthar
    08.05.2026 20:34

    Да разработчик вооот такой талмуд с разжевываниями к каждой придирке уже постил в марте. Для чего там и сертификаты, и отключение дефендера и запросы. Ничего вредоносного там нет, иначе уже бы нашли не вот в таких разборах, а в последствиях на живых системах.


    1. PXStudioOpenSource Автор
      08.05.2026 20:34

      @Onthar, "разжевывания" от разработчика не отменяют того факта, что установка стороннего Root CA позволяет проводить MitM-атаку и читать любой трафик пользователя. В ИБ это оценивается по результату, а не по обещаниям автора.

      Про "отсутствие последствий" — пакет был удален из Winget именно из-за подтвержденных рисков. Если для вас отправка скриншотов экрана в Telegram-бот каждые 30 минут — это нормальная функция, то нам просто не о чем спорить. У нас разные понятия о безопасности.

      И напоследок: то, что вы на Хабре с 2009 года, не дает вам права хейтить посты с реальными пруфами. Уважайте чужой труд и безопасность пользователей, а не оправдывайте сомнительный софт.

      И корневой сертификат для полного управления системой. никто просто ставить не будет. Ни для каких "обходов блокировок" это не нужно от слова совсем, одной фразой:хотите верьте хотите нет. И если вы такой "ИБ- аналитик" то покажите где нибудь как вы его лично проверяли на реальной системе, или доказательства отсутствия вирусов, просто я все свои пруфы приложил, а вы пока только пересказываете мнение разработчика которому вы почему то верите) Вот доказательства того что я действительно проводил анализ в Issue на гитхабе, а так же то что модераторы подтвердили вредоносность

      И кстати, интересно что вы на меня напали просто без причины, просто начали резко хейтить мои статьи, это вы решили "поучить жизни новичка на хабре"? Я скажу так, я давно уже не просто новичок. Да мои статьи вышли недавно, вы просто начали придираться, суть придирки? Объясните. Да даже если и объясните (но шанс мал) то нам в любом случае спорить дальше не стоит. Я привел все пруфы


  1. izhXX
    08.05.2026 20:34

    Мультиаккинг, сомнительные статьи. Забавно, что все они строго после регистрации и строго про одну вещь)))


    1. PXStudioOpenSource Автор
      08.05.2026 20:34

      Какой мультиаккинг? Проект сейчас на хайпе из-за замедлений сервисов, естественно, что несколько человек одновременно заглянули под капот и ужаснулись. Это не мультиаккинг, это коллективный иммунитет сообщества . А кстати, если мои статьи для вас "сомнительные" то какие же для вас нормальные?


      1. izhXX
        08.05.2026 20:34

        Возможно вы и разные люди, не буду спорить. Только вот это не отменяет того, что статья – попытка хайпа и ничего не несёт в себе. Оригинал вообще муть мутная. А ещё это не "иммунитет сообщества", а хрень. Репо примерно год, но спохватились все сейчас. Верим.

        Кстати, глупо изменять комментарий и минусовать. Оригинал всегда есть в мыле))

        Какой мульти аккинг? И во первых, я один раз пытался опубликовать статью но ее отклонили потому что она была мало информативна, и про что мне еще по вашему публиковать?


        1. PXStudioOpenSource Автор
          08.05.2026 20:34

          Ну во первых, с чего вы решили что статья попытка хайпа, обоснуйте. Выслушаю. Во вторых Обосновать "хайп" очень просто: тема безопасности Winget и популярных инструментов сейчас критически важна. Если бы я хотел просто «хайпануть», я бы написал пост в соцсетях. Я же потратил время на анализ, оформление Issue в Microsoft и добился удаления вредоноса.

          По поводу того, что "спохватились сейчас": софт стал массовым именно из-за замедлений YouTube/Discord. Больше пользователей — больше внимания исследователей. Это и есть нормальный процесс работы ИБ-сообщества.

          Предлагаю закончить обсуждение моей личности и вернуться к техническим деталям: у вас есть что сказать по поводу найденных в коде Root CA и функций отправки скриншотов?


        1. PXStudioOpenSource Автор
          08.05.2026 20:34

          Странно слышать от пользователя Хабра, что время жизни репозитория — это гарантия безопасности. Малварь в Winget (loop-uh.Zapret2) появилась недавно на волне массового спроса. ИБ-сообщество реагирует на угрозы, а не на возраст аккаунта на GitHub. Если вы считаете, что год — это срок для доверия, то у меня плохие новости для вашей системы безопасности.

          Статья несет в себе отчет об удалении вредоноса из официального репозитория MS Winget. Если для вас очистка глобальных инструментов от стиллеров — это "ничего", то что тогда для вас "что-то"? А кстати вы так и не ответили на мой вопрос, какие статьи для вас тогда нормальные?


  1. ImagineTables
    08.05.2026 20:34

    Смотрите на отчеты MITRE ATT&CK. Если простой утилите внезапно требуется Impair Defenses или Input Capture — это огромный красный флаг.

    А можно подробнее? Спасибо.


    1. PXStudioOpenSource Автор
      08.05.2026 20:34

      Смотрите, на том же VirusTotal когда заливаете файл есть кнопочка Behavior

      Нажимаем на эту кнопку
      Нажимаем на эту кнопку

      После того как нажали, листаем чуть ниже,и видим вот эту надпись:

      и там расписывается что делает программа,

      ну вот к примеру, модификация реестра, это может быть как опасно так и нет
      ну вот к примеру, модификация реестра, это может быть как опасно так и нет


      1. ImagineTables
        08.05.2026 20:34

        Большое спасибо. Надо будет в следующий раз попробовать.


  1. MEGA_Nexus
    08.05.2026 20:34

    Человек вроде старался, беспокоился за безопасность пользователей, а его как-то прохладно встретили. Вот так и пропадает вера в человечество и желание кому-либо помогать.


    1. PXStudioOpenSource Автор
      08.05.2026 20:34

      Спасибо за поддержку. самому очень обидно если четсно, но не за себя. А за то, что в ИБ-сообществе на Хабре обсуждение личности автора вдруг стало важнее обсуждения Root CA и кражи данных. Это странные приоритеты для профильного ресурса


      1. PXStudioOpenSource Автор
        08.05.2026 20:34

        поправочка:честно, я опечатался


      1. a3or
        08.05.2026 20:34

        Просто представьте, что хейтят вас те, кто этот софт писал/распространял/наживался. И сразу всё встанет на свои места легче станет;)


        1. PXStudioOpenSource Автор
          08.05.2026 20:34

          Спасибо :)


  1. KseandI
    08.05.2026 20:34

    По предварительным оценкам, это спасло от компрометации сотни тысяч, а возможно, и миллионы систем

    По предварительным оценкам, я, просыпаясь каждый день, спасаю всё человечество от неминуемой гибели как минимум три раза за сутки. Наверное надо про это статью на хабре написать…


    1. PXStudioOpenSource Автор
      08.05.2026 20:34

      Ну во первых если вам что то не нравится не пишите, это первое. Второе, мои действия реально спасли многие системы. Вы наверняка не пользовались тем же Winget)


      1. KseandI
        08.05.2026 20:34

        если вам что то не нравится не пишите

        Простите меня, с сегодняшнего дня буду только писать хвалу вам! По глупости своей забыл, что комментарии в хабре нужны исключительно для ублажения автора и что не место тут для критического анализа статьи.

        мои действия реально спасли многие системы

        И многие - это явно миллионы? Процент от всего населения РФ или всё IT сообщество в России по данным минцифр, если что. То есть в среднем это примерно каждый 50-ый случайный встречный должен был ставить именно этот обход блокировок и именно через winget.

        Внимание, вопрос: Сколько людей из вашего окружения вообще знают про winget и как им пользоваться?

        Вы наверняка не пользовались тем же Winget

        Пользовался. Возможно слишком мало пользовался, чтобы заметить, что он автоматически устанавливает “запрет 2 гуй обход блокировок ютуб разблокировать.msi”, автоматически запускает его и прожимает абсолютно все галочки в установке.

        Я до этой статьи всегда думал, что winget - это пакетный менеджер такой и там ты выбираешь пакеты, которые хочешь установить.


        1. PXStudioOpenSource Автор
          08.05.2026 20:34

          Ладно, извиняюсь был не прав