Перейти к содержанию
Pavlenko

Блокирование сайта www.movienizer.com антивирусом DrWeb

Recommended Posts

Pavlenko

Добрый день, коллеги!

Уже более 15 лет мы разрабатываем софт для домашних пользователей, периодически бывали проблемы с антивирусами, которые мы успешно решали. Но сейчас столкнулись с непробиемой реакцией Dr.Web.

Недавно один из наших пользователей пожаловался на то, что не получается скачать дистрибутив с нашего сайта. Dr.Web находит в нем Adware.Downware.8466. Если прогнать файл через VirusTotal, то только 1 срабатывание:

https://www.virustotal.com/en/file/8740171a...sis/1411046939/

Я сразу заполнил форму на сайте Dr.Web о ложном срабатывании, но получил краткий ответ без объяснения причин: "Ваш запрос был проанализирован. Это не ложное срабатывание."

Стал разбираться. Выяснилось, что антивирус ругается только на файл дистрибутива, который собран с помощью InnoSetup. На основной исполняемый файл программы на жалуется.

Более того, ругается только на подписанный цифровой подписью дистрибутив, если убрать подпись, то все нормально.

Ситуация дурацкая: подпись должна защищать, а не разрушать. При этом раз не ругается на основной подписанный файл, то есть с подписью проблем нет. Ну и отсутствие подписи никак не влияет на работоспособность программы. Будь там вирусы, то получается, что Dr.Web пропустил бы их.

Посоветовали пользователю скачать ZIP-архив с программой. Но на этот раз Dr.Web заблокировал весь сайт!

Опять написал в поддержку, ответили: "Указанный Вами сайт не рекомендуется к посещению специалистами компании «Доктор Веб», и ссылка на него не будет удалена из баз Dr.Web."

Я в недоумении. Наша программа на рынке с 2007 года, о ней писало много компьютерных изданий, у нас тысячи только тех пользователей, кто купил программу.

Malware могло попасть только случайно, но мы специально платим McAfee, чтобы они каждый день сканировали сайт на уязвимости и вирусы. Проблем нет:

https://www.mcafeesecure.com/verify?host=www.movienizer.com

Надеюсь, что с помощью независимого ресурса удастся разобраться в проблеме. Выход через знакомых на Dr.Web не помог :(

Отредактировал Pavlenko

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Проблема здесь в том, что под Downware подпадает целый класс внешне не вредоносных программ, но имеющие своей целью обогащение своих создателей через свои партнёрские программы (InstallCore, Somoto, проч.). Например, когда за браузер Mozilla Firefox, который абсолютно бесплатен, с какого-нибудь сайта типа bestfreesoftware.ololo просят некоторую мзду в виде платной SMS. При этом подобные программы-подменки имеют цифровую подпись (например, от Mail.Ru и.т.п.). Антивирусные производители такие вещи стараются детектировать и, соответственно, блокировать как Adware (рекламный модуль). При этом зачастую сопровождая детект префиксами not-a-virus и допуская возможность нажать кнопку "Пропустить" при подобного рода срабатывании. Кроме того, те производители, в составе продуктов которых есть веб-фильтры, добавляется детект как сайтов-распространителей подобного рода программ, так и сайтов их компаний-разработчиков. Поэтому, если монетизируетесь (схема распространения) через подобного рода партнёрские программы (см. выше - InstallCore, Somoto, проч.) и имеете подпись от, например, COMODO CA, - высоки шансы быть добавленным в базы антивирусных производителей. С весьма неохотным вычёркиванием оттуда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

при установке Вашего софта есть "галочка" на установку партнерского софта? если есть, то причина детекта ясна.

а то, что дрвеб детектит по подписи, то это вопрос лишь удобства, а не некого умысла, захотят могут хоть по размеру и времени компиляции детектить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavlenko

Нет, ставится только наша программа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavlenko
Кроме того, те производители, в составе продуктов которых есть веб-фильтры, добавляется детект как сайтов-распространителей подобного рода программ, так и сайтов их компаний-разработчиков.

В нашем бесплатном софте на другом сайте используется Somoto и OpenCandy, но на этом сайте их никогда не было. Как и в этой коммерческой программе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
В нашем бесплатном софте на другом сайте используется Somoto и OpenCandy.

Тем самым оправдывается их детектирование. В качестве примера детекта OpenCandy: http://www.herdprotect.com/lyrics-finder.e...1c646c2c8a.aspx

Обратите внимание на то, что файл подписан:

Digital SignatureSigned by:Soft Integrator Ltd.Authority:COMODO CA LimitedValid from:9/18/2012 2:00:00 AMValid to:9/19/2017 1:59:59 AMSubject:CN=Soft Integrator Ltd., O=Soft Integrator Ltd., STREET=34-B Predslavinskaya, L=Kyiv, S=Kyiv, PostalCode=03150, C=UAIssuer:CN=COMODO Code Signing CA 2, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GBSerial number:00940377CC336C213475B843DA476735C9
но на этом сайте их никогда не было. Как и в этой коммерческой программе

Получается, что коммерческая версия вашего продукта страдает из-за схемы распространения вашего бесплатного софта на других сайтах с участием известных блокируемых партнёрских программ. Очевидно, при детектировании пошли по пути "лучше пере-, чем недо-". В любом случае, полагаю, что из-за детекта своих бесплатных продуктов вы не очень страдаете. Ну а сотрудниками "Доктор Веб" данный форум читается (но не пишется). Возможно, наш с Вами диалог как-то повляет на снятие детекта с вашего коммерческого ПО и вашего сайта в целом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavlenko

Dr.Web я ссылку скинул, они отозвались на Twitter.

Но про OpenCandy пока что домыслы, они внятно не написали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

напишите как будет что проясняться, это крайне необычно, что заодно выходит детект всего - и то, что с партнерским софтом и то, что без. Эцп везде одинаковая? возможно детект тупо на нее - хоть хелловорлд подпишите и будет детект, коли так.

можете после того как написали им на почту и вам невнятно ответили еще на их форуме тему создать, тогда придется им более внятно отвечать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Или политкорректно закроют тему :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavlenko
напишите как будет что проясняться, это крайне необычно, что заодно выходит детект всего - и то, что с партнерским софтом и то, что без. Эцп везде одинаковая? возможно детект тупо на нее - хоть хелловорлд подпишите и будет детект, коли так.

Не, я же выше писал, что сама программа тоже подписана (исполняемый файл), но если ее прогнать через VirusTotal, то все ОК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Доктор Веб - компания в себе, расставляют детекты как хотят. Как блин соотносится схема распространения программы и ее вредоносность? Известно только им. Мне, например, не нравится как распространяется Яндекс.Браузер, тоже что ли его нежелательное ПО зачислить?

Уже два раза проверяли их детекты и писали отчеты:

http://www.anti-malware.ru/Threats_Analysis/Zona_analysis

http://www.anti-malware.ru/Threats_Analysi...diaget_analysis

Добиться от Доктор Веб снятия детекта авторы не могли. Проблема еще в том, что у них воруют детект и другие антивирусные компании. Поэтому проблема разрастается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Касательно этого файла:

1. Установка/удаление адекватное - браузер с параметрами запустит, но не более того.

2. В скрипте инсталляции подводных камней не заметил (типа детекта виртуалки в случае которого адварь не ставится).

3. Детектируются сами инсталляионные пакеты, причем русскоязычный инсталлер тоже детектируется. Детекты одинаковы - Adware.Downware.8466

4. Детектирует по подписи.

5. Отображается какая-либо реклама во время работы продукта сказать сложно, но какой-либо рекламный баннер отображается во многих ПО, которые не детектируются, но рекламы при работе ПО не заметил.

6. Сами файлы программы не детектируются - только инсталлер.

7. Насколько я могу судить, софт не распространяется через даунлоадеры-инсталлеры.

8. Единственно, на чем остановился взгляд это _http://www.plimus.com/jsp/redirect.jsp?contractId=2620828 - насколько это серьезно, судить не берусь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .

Movienizer_ru.exe детектируется как Adware.Downware.8466 по подписи, которая использовалась при раздаче софта с somoto и opencandy. Если разработчик сознательно использует подпись для приложений, распространяющихся через блокируемые партнерки или файлопомойки, весьма странно удивляться, что антивирус начинает реагировать на все файлы с такой подписью. Ну, а сайт может запросто попасть в "нерекомендуемые" автоматом просто по факту того, что с него загружается нечто, детектируемое антивирусом.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Movienizer_ru.exe детектируется как Adware.Downware.8466 по подписи, которая использовалась при раздаче софта с somoto и opencandy

а ТС об этом умолчал :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavlenko
а ТС об этом умолчал :D

Ну как бы об этом никто ясно не сказал. Догадки были. На этом сайте и в дистрибутиве OpenCandy никогда не было.

Что касается OpenCandy, то можно поспорить насколько они являются malware. Они очень щепитильны по поводу офферов и пару лет назад получили неплохие инвестиции от Google Ventures. Вряд ли большой брат будет во всякую фигню вкладываться.

Никакие офферы сами не ставятся, пользователь должен согласиться с ними. Не удивлюсь, если Dr.Web рекламируется через того же OpenCandy.

Somoto более агрессивные, но тоже вполне вменяемые.

8. Единственно, на чем остановился взгляд это _http://www.plimus.com/jsp/redirect.jsp?contractId=2620828 - насколько это серьезно, судить не берусь.

До этого кода не доходит - несостоявшаяся партнерка.

Скрипт инсталлера выложил на сайте: www.movienizer.com/movienizer7x_ru.iss

PS Прошу прощения за задержку с ответами - чего-то форум не открывался.

PPS Про OpenCandy и Somoto писал выше - http://www.anti-malware.ru/forum/index.php...st&p=180372

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×