Замедление YouTube, Discord и других популярных сервисов в РФ спровоцировало настоящий бум инструментов для обхода DPI. Флагманский проект zapret от @bol-van - мощное решение, но его консольный интерфейс пугает рядового пользователя. На этой почве выросли десятки GUI-оболочек «для домохозяек».
Однако за красивым интерфейсом и обещанием «обхода в один клик» может скрываться нечто большее, чем просто прокси-клиент. В этой статье я разберу форк «Zapret 2 GUI» (автор censorliber), который набрал сотни звезд на GitHub, но при детальном анализе оказался полноценным инструментом для шпионажа и компрометации системы.
Добро пожаловать под кат. Разберемся, зачем обычному обходчику блокировок права TrustedInstaller и ваш корневой сертификат.
Предыстория и дисклеймер
Мне 17 лет, я увлекаюсь реверс-инжинирингом и ИБ.К данному исследованию меня подтолкнуло подозрительное поведение утилиты в системе моего близкого человека. Проведя аудит исходного кода на GitHub и динамический анализ бинарных сборок, я обнаружил признаки поведения, характерного для Trojan-Downloader и Spyware.
На мои попытки поднять дискуссию в репозитории проекта авторы ответили агрессией, обвинениями в «ИИ-генерации текста» и признанием в наличии «секретов в приватной части кода». Что ж, пускай за авторов скажет их код.
Технический анализ кода (GitHub)
1. Деструктивные действия: Убийство защиты системы
В файле altmenu/defender_manager.py реализован функционал, который выходит далеко за рамки настройки прокси. Программа планомерно отключает Windows Defender через реестр.
altmenu/defender_manager.pyЗачем это нужно? Авторы объясняют это «заботой о пользователе», чтобы антивирус не мешал работе. В действительности, полное отключение защиты делает систему уязвимой для любой последующей атаки.
2. Подготовка к MitM: Скрытая установка Root CA
Самый критичный момент - файл startup/certificate_installer.py. Программа скрытно устанавливает сторонний сертификат в «Доверенные корневые центры».
Почему это опасно? Для обхода DPI сертификат не нужен. Он нужен только для расшифровки HTTPS-трафика. Установив свой Root CA, злоумышленник может беспрепятственно читать вашу переписку, воровать Cookie-сессии и пароли.
startup/certificate_installer.py3. Шпионаж и эксфильтрация данных
Скрипты tgram/tg_log_delta.py и tg_log_full.py каждые 30 минут собирают имя вашего ПК, версию ОС и уникальный UUID, отправляя данные в приватный Telegram-чат администратора через зашифрованные токены ботов.
tgram/tg_log_delta.pyАнализ бинарных сборок (EXE)
Если код на GitHub вызывает вопросы, то скомпилированные EXE-файлы, распространяемые через Telegram-канал проекта, вызывают настоящий ужас у безопасников.
EXE != GitHub: Авторы признают, что код в репозитории «отстает от реального на 2 месяца». Это классический метод сокрытия вредоносного функционала (payload).
Вердикт песочниц: Отчеты ANY.RUN и Tria.ge однозначны: Malicious (Loader / Spyware). Зафиксированы попытки внедрения кода в память.
Этическая сторона и лицензия
Проект позиционируется как форк, однако автор грубо нарушил условия лицензии MIT, удалив имя оригинального разработчика ядра (@bol-van) и заменив его на свой ник
Более того, поверх бесплатного и открытого ядра winws.exe была наслоена система платных «премиум-подписок». Продавать подписки на софт, который попутно ворует ваши данные верх цинизма.
Реакция разработчиков
В ходе дискуссии на GitHub (Issue #247) и в Telegram-канале, разработчики не дали ни одного вменяемого технического ответа на вопрос о Root CA. Вместо этого они использовали тактику газлайтинга:
«Ты просто зумер с ChatGPT».
«Программа для домохозяек, им так удобнее».
«У нас приватный репозиторий, там лежат секреты».
Последняя фраза - это приговор. В Open Source проекте, претендующем на доверие, не может быть «секретов» в приватной части.
Что делать, если вы это установили?
Если вы запускали Zapret 2 GUI, я настоятельно рекомендую:
Удалить программу и все её компоненты.
Проверить сертификаты:
Win + R->certmgr.msc. Ищите подозрительные записи в «Доверенные корневые центры».Восстановить Hosts: Убедитесь, что файл
C:\Windows\System32\drivers\etc\hostsне содержит лишних IP и не открыт на запись для всех (Everyone:F).Сменить пароли в критически важных сервисах.
Заключение
Бесплатный сыр бывает только в мышеловке с красивым GUI. Берегите свою цифровую личность. Моей целью было и остается предупредить других пользователей и ответь на предвзятые обвинения. Посмотреть с чего все началось можно в этой Discussion
Комментарии (55)
Worst_su
26.03.2026 12:25Только что проверил срез за февраль
Ничего криминального там нет, всё делается через чекбоксы/запросы к пользователю
Что утилита нейрослоп, что авторские бредни
Продажа опенсурса это вопрос десятый, фактически они продают морду, весь код доступен в репозитории, лицензии это не нарушаетWorst_su
26.03.2026 12:25По поводу же "вредоносной активности"
Если бы автор изучил отчет "any.run", то он бы узнал, что вся "вредоносность" той древней версии заключается в байпасе политик powershell, скачивании оригинальных библиотек WinDivert-2.2.1 с gitea и скачивании + запуске всё с той же gitea дистрибутива самой софтины из релиза (который там всё ещё лежит)
https://gitea.com/censorliber/zapret/src/commit/50f5c6be36ba8bab8b1f389d00beb2e6ab45b22c/
https://gitea.com/censorliber/zapret/src/commit/50f5c6be36ba8bab8b1f389d00beb2e6ab45b22c/get.ps1
https://gitea.com/censorliber/zapret/releases/download/6.4.0/zapret6.4.0.zip
Очень надеюсь, что модерация Хабра снесет эти бредни в ближайшее время, ибо статья абсолютный поток псевдотехнической чепухи, а автор даже не смотрел дальше двух строк на файлWorst_su
26.03.2026 12:25@moderator статья является полнейшим введением в заблуждение
Worst_su
26.03.2026 12:25да, я только сейчас нашел, как на хабре правильно давать отклик модерации, всё думал что просто где-то пропустил меню с кнопкой жалобы
MindWin
26.03.2026 12:25Лучше свяжитесь с авторами программы, и убедите их не делать платные услуги на общей беде
KseandI
26.03.2026 12:25А почему не должны? Мне кажется, в данном случае прямая конкуренция с открытыми бесплатными продуктами должна вытеснить его с рынка.
Если человеку хочется платить за нейрослоп гуй, его право. Но всё же большинство почитает тему больше пяти минут и пойдёт использовать оригинальный запрет.
Не надо основывать систему взаимоотношений в обществе исключительно на какой-то этике, это наоборот даёт большое преимущество людям без её наличия.
dan_sw
26.03.2026 12:25Очень надеюсь, что модерация Хабра снесет эти бредни в ближайшее время, ибо статья абсолютный поток псевдотехнической чепухи, а автор даже не смотрел дальше двух строк на файл
статья является полнейшим введением в заблуждение
Вы, похоже, крайне заинтересованы, чтобы этот материал снесли? Какой-то, возможно, личный у этого есть интерес? Смотрю на существующий нейрослоп так остро не реагируете... видимо у Вас есть какое-то отношение к этому репозиторию, раз Вы его так защищаете :)
Worst_su
26.03.2026 12:25Да, потому что как только я его увидел - сам полетел кидать жалобы на канал и репозиторий
Позже, когда сам проверил код и логи песочницы, почувствовал себя примерно так:Скрытый текст
Spasley
26.03.2026 12:25а серт-то она зачем втыкает?
То, что всё делается через "чекбоксы/запросы к пользователю" ни о чём не говорит, с чем только обезумевший от ютубного голодания домохозяин/домохозяйка не согласится. "Установить серт?" - "да, да, быстрее только ютуб включи"
Worst_su
26.03.2026 12:25Для code sign, как понимаю для WinDivert
boris768
26.03.2026 12:25WinDivert уже есть подписанный - любые остальные сборки zapret/goodbyedpi просто по умолчанию несут с собой нормально загружаемый экземпляр.
Windows не дает возможности установить корневой сертификат так, чтобы можно было им подписать и затем загрузить какие-либо драйвера (есть исключение, но несущественное), для других целей это в любом случае подозрительно.
PatakinVVV
26.03.2026 12:25Наличие чекбокса вредоносную функцию не легализует. Большинство пользователей жмут далее -> далее -> согласен, не читая что им предлагают. Если софт предлагает установить левый Root CA под предлогом "так надо для работы", это социальная инженерия чистой воды
vikarti
26.03.2026 12:25Зачем там свой Root CA? (нет - внятные объяснения могут быть - например зачем оно антивирусу современному - вполне понятно)
Зачем слив в телеграм?
Я понимаю что могут быть причины. был у меня например опыт написания и поддержки утилит которые инжекцию в чужой процесс (или вообще во все процессы что лезут в сеть - в другой утилите) делают и творят там то что скажем так авторы процессов не предусматривали и иногда - активно против. И оно еще и VMprotect'ом было прикрыто(!) + активация . Но - пользователи в курсе были зачем все (и могли спросить про детали) а активация и привязка - как раз для того чтобы не ушло дальше этих пользователей
a3d
26.03.2026 12:25Товарищъ дорогой нейро-вирусоискатель. ;)
1. Заканчивайте доверять анализу кода через нейрослоп так уж усердно, помощь нейронок хорошо, но перекладывание 90% на них - это зло. Я бы сказал использовать нейронки в анализе уже теперь точно необходимо, но в балансе хотя бы 60/40, может 70/30. Человеческий мозг и умения надо тоже включать.
2. Вы видимо не видели настоящие трояны в zapret.zip, так их сотни, и тг каналов сотни с ними, и майнеры в них это самое безобидное. Вот такие и подобные гораздо умнее и серьёзнее стали за последний год: https://habr.com/ru/articles/868864/
Denius
26.03.2026 12:25Чего-то истерику раскрутили вокруг продукта. Видимо кому-то нужна. Я уже давно пользуюсь, и никаких проблем. И антивирус не отключал, хотя да, удивлён был, что автор призывал ему выключить и даже обосновывал это. Но автор много чего писал про разные лишние настройки Win раньше. Он так видит.
ImagineTables
26.03.2026 12:25Ищите подозрительные записи в «Доверенные корневые центры».
А как узнать, какие записи подозрительные? (Наверно, полезно туда просто для профилактики заглядывать).
tdrz
26.03.2026 12:25Есть утилита от Sysinternals, ей можно проверить наличие недоверенных сертификатов
sigcheck64.exe -tv *Потом найти эти сертификаты по отпечатку в certmgr.msc
Можно и сразу удалить через консоль, но иногда там бывает что-то важное, т.к. люди используют самоподписанные сертификаты для софта и драйверов.
certutil –delstore RootотпечатокImagineTables
26.03.2026 12:25sigcheck64.exe -tv *
А дальше? Вот первый сертификат из списка:
%PCNAME% это имя моего компьютера. Серийник и отпечаток я частично замазал, поскольку не знаю, насколько опасно их показывать из-под распахнутого плаща случайным прохожим в Интернете.
Особо подозрительным мне кажется, что он имеет статус Valid, хотя начало и конец срока действия датированы 2023-м годом. Кто его выписал, когда, с какой целью — бог весть. Как это узнать? И надо ли беспокоиться?
tdrz
26.03.2026 12:25Искать его в certmgr.msc, там можно посмотреть расширенные свойства.
Может что получится вспомнить.
Обычно самоподписанным ставят в свойствах "все области применения", а на скрине только "Server Auth". Его могла поставить какая-то прога вроде локального веб сервера или что-то с веб-интерфейсом.
В certmgr есть папка недоверенных, можно его перетащить туда и посмотреть не отвалится ли что.ImagineTables
26.03.2026 12:25Искать его в certmgr.msc, там можно посмотреть расширенные свойства.
Там, к сожалению, пусто. Во всех полях на всех вкладках.
В certmgr есть папка недоверенных, можно его перетащить туда и посмотреть не отвалится ли что.
Ну, я так и подумал, что только методом тыка. К сожалению, я ставил модифицированные драйвера (доверяя изготовителю), вдруг после этого отвалится ВСЁ? (Я вижу пару сертификатов, где issuer указан этот человек, но вдруг это дополнительный сертификат, где он забыл указать себя как issuer — на его сайте написано: не доверяете мне — компилятор в зубы и идёте сами собирать, так что вопросами ему лучше не докучать).
Такое чувство, что Microsoft специально создала среду, где простой юзер концов не найдёт. Может, его даже попросили об этом сверху. Эй, куда вы меня тащи…
tdrz
26.03.2026 12:25Ну если уж прямо хочется посмотреть насколько глубока кроличья нора, можно запустить System Informer.
Там для драйверов и процессов добавить столбцы verified signer/verification status.
И дальше для всего подозрительного ручками открывать файлы и смотреть в свойствах подпись.
А для совсем полного удовлетворения можно еще вывести список всех проблемных сертификатов на компе. Там даже попадаются официальные.certutil -verifyStore Root
certutil -verifyStore TrustedPublisher
certutil -user -verifyStore Root
certutil -user -verifyStore TrustedPublisherВообще сертификаты с полем "Server Auth" по идее не должны влиять на драйвера.
ImagineTables
26.03.2026 12:25Особо подозрительным мне кажется, что он имеет статус Valid, хотя начало и конец срока действия датированы 2023-м годом
It’s OK if the certificate has expired - as long as the timestamped signature on the file that you downloaded was made while the certificate still was valid.
PatakinVVV
26.03.2026 12:25Чисто для профилактики заглядывать туда бессмысленно, если вы не знаете что ищете. Проще прогнать систему нормальным антивирусом или использовать утилиту Sigcheck от Sysinternals, которая сравнит ваш список с эталонным списком доверенных сертификатов от Microsoft
QtRoS
26.03.2026 12:25Последняя фраза - это приговор
Да, для этой статьи. Не перестаю задаваться вопросом, откуда модели унаследовали такой странный слог.
lgorSL
26.03.2026 12:25Мне кажется, из английского. Русского языка в обучающей выборке мало, и вдобавок токенизатор заточен под английский, многие слова идут одним токеном, а на русском буквально по слогам. И как будто построение предложений протекает из английского в русский.
Yuiko64
26.03.2026 12:25Интересно, а кто накидал лайков этому - они вообще читали, что лайкают? +50 вот в данный момент у нейрослопа...
zlat_zlat
26.03.2026 12:25Хочется, конечно, поспорить со статьей, но какой смысл, если это нейрослоп от начала до конца, содержащий как факты, так и домыслы с противоречиями?
Удивительно только, что статья так яростно заплюсована.
xl-tech
26.03.2026 12:25Авторы программы так не объяснили зачем ставить свой корневой сертификат, остальное в целом понятно зачем.
xl-tech
26.03.2026 12:25Отвечу сам себе, они утверждают что ставят сертификат чтобы поставить самоподписанный драйвер. В целом, похоже на правду, но о таком надо предупреждать, а не ставить скрытно.
Dozer88
26.03.2026 12:25Для расшифровки HTTPS (TLS) трафика нужно знать ключи, которые генерируются обеими сторонами совместно почти каждый раз при подключении. И никакие сертификаты в этом не помогут.
KseandI
26.03.2026 12:25Да, но если у тебя есть ключи, которые якобы есть только у телеграмма, не сложно сделать MitM между клиентом и сервером телеграмма. Шифрование бесполезно, когда ты не можешь гарантировать, что зашифрованный канал ты построил с нужным тебе получателем.
Dozer88
26.03.2026 12:25Речь шла об расшифровке трафика... MITM и расшифровка - разные вещи...
KseandI
26.03.2026 12:25Ага, ведь MitM - это тип атаки, а расшифровка - это действие, это и правда разные действия. /sarcasm
Я не совсем понимаю, как вы себе митм представляете без расшифровки, но обычно он выдаёт себя за сервер, создавая зашифрованное соединение с клиентом и обмениваясь подписанными ключами, что позволяет ему расшифровывать трафик, при этом не создавая подозрений. Дальше он шифруется обратно и отправляется уже реальному серверу, чтобы делать вид, будто бы митма нет.
lolomap
26.03.2026 12:25Весь "анализ" и статья, даже ответы автора в оригинальном обсуждении на гитхабе bol-van есть продукт работы ИИ. Парень обиделся, что в его нейро-алармизм никто не поверил на Github и пошел писать "статью" на Хабр :)
nidalee
26.03.2026 12:25По содержанию могу сказать разве что то, что похоже все уже исправили. Но на будущее пожелание всем велосипедописателям: прекратите подсовывать свои мутные (корневые!) сертификаты, это вообще доверия не внушает.
Ramiras
26.03.2026 12:25Ой как много комментариев с ключевым словом "Нейрослоп", как под копирку :D
Компетентность автора и его выводы можно ставить под сомнение - бесспорно, но скоординированная реакция в комментариях заставляет задуматься: "Автор возможно прав"
NSA-bot
26.03.2026 12:25100% авторы натравили ботов, тут даже не нагибаясь виден наплыв "поддержки" ))
UFO_01
26.03.2026 12:25Да тут как будто бы обе стороны знатно оподливились. Разрабы навайбкодили непонятное нечто с кривыми обходами ограничений системы, из-за чего и не смогли нормально ответить на претензии и просто кинулись всё фиксить, не объяснив толком а зачем они это вообще сделали чтобы снизить репутационный ущерб. Ещё и защитников в комментарии нагнали.
И автор статьи который накидал на вентилятор, но не смог даже объяснить а как конкретно используют уязвимости, именно используют а не "могут использовать". Как минимум мне странным показалось что автор статьи побежал жаловаться в репо zapret2. Сомнительная ситуация, спасибо bol-van что пытался разобраться.
KseandI
26.03.2026 12:25Битва была равна, сражались два.. гпт, походу. Один в принципе не понимает, зачем используются секреты в гит репозиториях, вторые свой гитхаб токен (с админ правами, хочу заметить) положили напрямую в исходники, только немного пошифровав через шифр уровня b64. Благо хоть последнее поправили (но токен так и не ревоукнули, кстати).
SaintMortum
26.03.2026 12:25Посмотреть с чего все началось можно в этой Discussion
Посмотрел. Автор лох и обосрался.
На претензии ответили, в том числе и коммитами. Да, есть такой момент что имеется неаккуратность при разработке, неактуальный код и всё такое. Но приходя с такими обвинениями без глубокого анализа не стоит ожидать адекватной реакции. Не формальный "анализ" вот есть код, который делает плохо и значит всё плохо. А нормальный анализ откуда и при каких условиях вызывается. На это даже авторы утилиты ответили, читать надо уметь.
alex1478
Там, судя по коду, сама утилита написана нейронкой
SystemSoft
Вы опередили меня
mitrillov
Тут еще круче, нейрослоп в статье разбирает нейрослоп с гитхаба. Хоть на Хабр не заходи, ей-богу!