Анализ торрент-клиента Zona на принадлежность к классу потенциально нежелательных программ

Анализ торрент-клиента Zona на принадлежность к классу потенциально нежелательных программ

Компания Destiny Media обратилась к информационно-аналитическому центру в области информационной безопасности Anti-Malware.ru для проведения экспертизы торрент-клиента Zona и схемы его распространения на предмет её потенциальной опасности для пользователей сети Интернет.

 

 

 

1. Введение

2. Цель исследования

3. Методология исследования

4. Анализ работоспособности торрент-клиента Zona

5. Установка версии клиента Zona с сайта torrentino.com

6. Работа программы Zona

7. Деинсталляция торрент-клиента Zona

8. Выводы

 

 

Введение 

Zona является бесплатным программным продуктом (торрент-клиентом), предназначенным для поиска, скачивания и просмотра (в том числе, и «на лету») контента из пиринговых сетей. Официальный сайт программы - Zona.ru

К сожалению, ознакомиться с историей появления и развития компании Destiny Media и ее продуктов не представляется возможным – на официальном сайте информация об этом отсутствует.

Вариант установщика торрент-клиента Zona, скачанный с официального сайта, детектируют как вредоносный следующие антивирусные компании:

 

Таблица 1. Сводная таблица детектирования антивирусами торрент-клиента Zona

Comodo Application.Win32.ZvuZona.A 20140307
DrWeb Program.Zona.4 20140307
ESET-NOD32 a variant of Win32/ZvuZona.A 20140307
K7AntiVirus Unwanted-Program ( 00454f261 ) 20140306
K7GW Unwanted-Program ( 00454f261 ) 20140306
Malwarebytes PUP.Optional.Zona 20140307
McAfee Artemis!BF77E88BF252 20140307
McAfee-GW-Edition Artemis!BF77E88BF252 20140307
Rising PE:PUF.Zona!1.9E06 20140307
Sophos Zona Installer 20140307
TrendMicro-HouseCall TROJ_GEN.F47V0205 20140307
VBA32 Signed-Downware.ZvuZona 20140307

 

Вариант установщика торрент-клиента Zona, скачанный с партнерского сайта torrentino.com, детектируют как вредоносный следующие антивирусные компании:

 

Таблица 2. Сводная таблица детектирования антивирусами торрент-клиента Zona, скачанный с партнерского сайта torrentino.com

Agnitum PUA.ZvuZona! 20140307
DrWeb Trojan.StartPage.59964 20140307
ESET-NOD32 a variant of Win32/ZvuZona.A 20140307
K7GW Unwanted-Program ( 004940e01 ) 20140306
Kaspersky not-a-virus:Downloader.Win32.AdLoad.mlx 20140307
Kingsoft Win32.Troj.DownAdLoad.m.(kcloud) 20140307
Malwarebytes PUP.Optional.Zona 20140307
Qihoo-360 HEUR/Malware.QVM18.Gen 20140307
Rising PE:PUF.Zona!1.9E06 20140307
Sophos Zona Installer 20140307
VBA32 Signed-Downware.ZvuZona 20140307
VIPRE Trojan.Win32.Generic!BT 20140307

 

В частности, на сайте компании «Доктор Веб» находится подробное описание причин детектирования программы Zona как Program.Zona.1, в которой высказаны факты, на основании которых программа Zona была добавлена как потенциально опасная:

  1. При отсутствии на компьютере Java самостоятельно скачивает её с внутренних ресурсов компании Destiny Media и устанавливает её, версия Java при этом устаревшая.
  2. При определённых условиях при запуске Zona меняет стартовую страницу и поисковую систему по умолчанию на rambler.ru

С текстом пресс-релиза компании «Доктор Веб» относительно Zona можно ознакомиться по данной ссылке: http://vms.drweb.com/virus/?i=2302167. Однако, большинство антивирусных компаний, которые работают на рынке, не детектируют установщики торрент-клиента Zona как вредоносное либо потенциально опасное программное обеспечение.

Таким образом, причиной добавления сигнатур торрент-клиента Zona в антивирусные базы Dr.Web стали нарушения компанией Destiny Media хороших практик разработки программного обеспечения.

Важно! По состоянию на 16.06.2014 все обнаруженные нами и описанные в данном отчете нарушения в торрент-клиенте Zona были устранены.

 

Цель исследования 

Специалистами информационно-аналитического центра Anti-Malware.ru будет проведено исследование текущее состояние программного продукта Zona и партнёрской программы компании Destiny Media для того, чтобы выяснить, является ли на сегодняшний день Zona вредоносной или потенциально опасной программой.

 

Методология исследования

В ходе исследования были рассмотрены следующие параметры:

  • Процесс установки отдельной копии Zona;
  • Работа программы Zona.

Анализу были подвергнуты:

  1. Проверка схемы распространения программы Zona для конечного пользователя.
  2. Проверка установки программы Zona на предмет потенциальной опасности для пользователя.
  3. Проверка работы заявленного производителем функционала и отсутствие незадекларированных функций.

 

Анализ работоспособности торрент-клиента Zona

Была проанализирована схема распространения торрент-клиента Zona компанией Destiny Media совместно с торрент-порталом http://www.torrentino.com/.

На сайте Torrentino.com запрос на скачивание любого торрент-файла на момент подготовки статьи сопровождалась рекламным блоком–кнопкой Zona. При этом часть фразы «с помощью Zona» выполнена мелким шрифта, сливающимся с цветом самой кнопки, что вводит неискушённого пользователя в заблуждение по поводу того, что именно он скачивает себе на компьютер. Таким образом, при щелчке на кнопку с  надписью »Скачать» происходит скачивание исполняемого файла-установщика Zona. Такой же приём был использован на сайте rutor.org, предлагавший скачать установщик торрент-клиента MediaGet (см. анализ порталом Anti-Malware.ru торрент-клиента MediaGet, /Threats_Analysis/Mediaget_analysis).

 

Рисунок 1. Пример предложения скачать установочный файл Zona вместо запрашиваемого .torrent-файла

Пример предложения скачать установочный файл Zona вместо запрашиваемого .torrent-файла

 

При этом, если подождать 30 секунд,  появится ссылка «Скачать torrent», при щелчке на который будет произведено скачивание произойдет скачивание обычного торрент-файла.

 

Рисунок 2. Ссылка «Скачать torrent» появилась

Ссылка «Скачать torrent» появилась

 

Скачанный исполняемый файл торрент-клиента Zona подписан цифровой подписью и полностью идентичен в этом смысле клиенту, скачанному с основного сайта компании zona.ru.

 

Рисунок 3. Проверка цифровой подписи файла, скачанного с сайта torrentino.com

Проверка цифровой подписи файла, скачанного с сайта torrentino.com

 

Рисунок 4. Проверка цифровой подписи исполняемого файла с сайта zona.ru

Проверка цифровой подписи исполняемого файла с сайта zona.ru

 

Однако размер данных двух файлов сильно отличается друг от друга (с torrentino.com – 206 Кб, с zona.ru – 27,6 Мб). В загружаемом с сайта-партнёра файле отсутствуют установочные пакеты, которые подгружаются в процессе установки, если в них возникает необходимость (например, клиент Java Runtime Environment).

Результаты проверки скачанных установочных файлов Zona (torrentino.com):

https://www.virustotal.com/ru/file/868a8d5af16c72ad401e07bb3531dc16edf23ef4cc6154e8f850e6d0f0676e79/analysis/1394188181/

Результаты проверки скачанных установочных файлов Zona (zona.ru):

https://www.virustotal.com/ru/file/b1db24e89b88627cad7f287cdd66c2f326f8f8170184bce3cd1db65c94e73bd1/analysis/1394188437/

 

Установка версии клиента Zona с сайта torrentino.com

При установке торрент-клиента Zona происходит следующее:

  1. Происходит проверка на наличие в системе клиента Java. В случае отсутствия в системе данного ПО, с серверов Zona происходит скачивание установщика устаревшего (Version 6 Update 45) клиента Java Runtime Environment в папку %AppData%\Zona\tmp и запуск его на исполнение. Согласие клиента на установку стороннего ПО не предусмотрено.
  2. Создаются два каталога на жёстком диске: %AppData%\Zona\ и %Program Files%\Zona\. В первой папке хранятся данные и программные файлы Zona Updater и для работы с Mozilla XUL (а также, различные плагины), во второй– программные файлы.
  • в папке %AppData%\zona\:

countries2.json

genre2.json

init.xml

movie.json

plugins\

tmp\

  • %AppData%\zona\tmp\:

18467jre_packed.exe

26500appdata.7z

41javaSetup.exe

6334Zona.7z

  • %AppData%\zona\plugins\:

zhtml\

zmdht\

zprovider_0\

zupdater\

zupnpms\

zxulrunner10\

  • %Program Files%\Zona:

License_en.rtf

License_ru.rtf

License_uk.rtf

README.txt

reporter.jar

swt.jar

torrent.ico

uninstall.exe

utils.jar

Zona.exe

Zona.jar

ZonaUpdater.exe

zreg.dll

jre\ (в случае, если на компьютере пользователя отсутствует установленный Java Runtime Environment, установленный до запуска инсталляции торрент-клиента Zona)

  • %Program Files%\Zona\jre\:

Содержит полноценный Java Runtime Environment Version 6 Update 45 [На состояние 16.06.2014 версия Java Runtime обновлена до Java Runtime Environment SE 8 Update 5]

  • %Program Files%\Java\:

Содержит Java Runtime Environment Version 6 Update 45 в случае, если клиент Java не был установлен до установки торрент-клиента Zona [На состояние 16.06.2014 версия Java Runtime обновлена до Java Runtime Environment SE 8 Update 5]

  1. Лицензионное соглашение EULA в процессе установки не демонстрируется в отдельном окне установщика продукта, для этого нужно кликнуть по специальной ссылке.

 

Рисунок 5. Предложение об ознакомлении с лицензионным соглашением Zona

Предложение об ознакомлении с лицензионным соглашением Zona

 

  1. По умолчанию, Zona предлагает пользователю установится торрент-клиент по умолчанию, а также установить себя для авто-запуска и добавить себя в исключения встроенного брандмауэра Windows. При выключении данных опций установщик Zona ведёт себя корректно. В случае включения авто-запуска Zona, данная функциональность обеспечивается регистрацией значения «Zona» в ключе реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run].

Никакой визуальной либо функциональной разницы между «быстрой установкой» и «расширенной» нет.

[По состоянию 16.06.2014 расширенные настройки, представленные на рисунке 8, появляются только при выборе «Расширенная Установка»]

 

Рисунок 6. Установка торрент-клиента Zona основным  по умолчанию

Установка торрент-клиента Zona основным  по умолчанию

 

  1. При запуске установочного файла Zona пользователю по-умолчанию предлагается установить Rambler страницей и поиском в браузерах по умолчанию. При выключении данного чекбокса Rambler не устанавливается.

Стоит отметить, что возможность старта торрент-клиента при старте системы и добавление в исключения фаервола Windows- это стандартная практика для практически любого присутствующего на рынке клиента Peer-to-Peer (в том числе, и для обмена данными по протоколу BitTorrent).

 

Рисунок 7. Выбор установок дополнительного ПО

Выбор установок дополнительного ПО

 

Установка версии клиента с сайта zona.ru

Клиент, устанавливаемый с сайта zona.ru, на эпате установки ведёт себя несколько иначе, нежели чем установщик с torrentino.com.

  1. Программа предлагает выбрать настройки установки. Пользователю недоступно лицензионное соглашение на данном этапе установки клиента Zona.

 

Рисунок 8. Программа установки торрент-клиента Zona (вариант с сайта zona.ru)

Программа установки торрент-клиента Zona (вариант с сайта zona.ru)

 

  1. Далее программа проверяет наличие установленного клиента Java и в случае его отсутствия, извлекает установщик Java Runtime Environment и запускает его без согласия на то пользователя. Только на этом этапе пользователь может прочитать лицензионное соглашение.

 

Рисунок 9. Лицензионное соглашение варианта клиента (вариант с сайта zona.ru)

Лицензионное соглашение варианта клиента (вариант с сайта zona.ru)

 

  1. Диалог клиента с установкой ресурсов Rambler как стартовой страницы и поиска по умолчанию отсутствует. Модификация параметров браузеров не происходит.
  2. Состав файлов и папок совпадает с тем, что используется в варианте установщика с torrentino.com.

Исходя из вышеизложенного, следует трактовать как сомнительные следующие особенности установщика торрент-клиента Zona:

  1. В случае, если клиент Java не установлен на компьютере пользователя в момент установки торрент-клиента Zona, Java Runtime Environment Version 6 Update 45 принудительно устанавливается на компьютер без согласия на то пользователя, равно как и без возможности отменить этот процесс. [На состояние 16.06.2014 Java Runtime Environment обновлён до Java Runtime Environment SE Version 8 Update 5]
  2. Устанавливаемый торрент-клиентом Zona Java Runtime Environment Version 6 Update 45 является сильно устаревшим, с многочисленным набором известных эксплуатируемых злоумышленниками уязвимостей, что открывает им двери на компьютер. [На состояние 16.06.2014 Java Runtime Environment обновлён до Java Runtime Environment SE Version 8 Update 5]
  3. При установке торрент-клиента Zona дополнительная установка сервисов Рамблер выбирается по умолчанию, пользователь вынужден быть внимательным и совершать дополнительные действия для того, чтобы не устанавливать данные сервисы в случае, если они ему не нужны.

           

Работа программы Zona

При первом запуске Zona регистрирует в реестре свои типы файлов (.zona, .bcuri и .bctpuri), а также контексты MIME-типов (x-zona, x-bctp-uri, x-bc-uri), а также создаёт дополнительные служебные файлы и папки в каталоге %AppData%\zona\.

[По состоянию на 16.06.2014 ключи реестра HKEY_CLASSES_ROOT\.bctpuri, HKEY_CLASSES_ROOT\.bcuri более не создаются]

Также, Zona проверяет настройки ассоциаций с файлами.torrent и, в случае, если Zona не является программой по умолчанию для открытия торрент-файлов, предлагает ассоциировать себя с ними. В случае отказа ведёт себя корректно.

 

Рисунок 10. Проверка ассоциаций торрент-клиентов по умолчанию

Проверка ассоциаций торрент-клиентов по умолчанию

 

При установке клиента Zona происходит доступ к cookie-объектам Shockwave Player, ассоциированных с сайтом zona.ru, что сделано в целях идентификации уже установленного клиента Zona.

Важно отметить, что поведения, свойственного опасному (вредоносному) программному обеспечению, как то: шпионской активности (отправка каких-либо сведений на удалённый сервер), установки вредоносных программ третьих сторон, установки руткитов, работы в качестве кейлоггера, трояна или червя, заражения исполняемых файлов, атак на целостность данных либо системы в целом, не обнаружено.

 

Деинсталляция торрент-клиента Zona

При деинсталляции Zona однако, оставляет на жёстком диске (%AppData%\Zona\) и в реестре (например, в HKEY_CLASSES_ROOT\.bctpuri, HKEY_CLASSES_ROOT\.bcuri) часть тех данных, которые сама туда прописала. Клиент Java Runtime Environment удаляется из системы полностью в случае, если он был установлен на компьютере пользователя вместе с торрент-клиентом Zona.

[По состоянию на 16.06.2014 ключи реестра HKEY_CLASSES_ROOT\.bctpuri, HKEY_CLASSES_ROOT\.bcuri более не создаются]

 

Выводы

На основании проведённого исследования и полученных результатов можно сделать вывод, что торрент-клиент Zona нельзя считать вредоносной программой в классическом понимании этого определения. Однако, по факту принудительной установки стороннего программного обеспечения Java Runtime Environment без согласия пользователя (в случае, если клиент Java не был установлен пользователем самостоятельно до установки торрент-клиента Zona), да ещё и с большим количеством известных злоумышленникам уязвимостей, данное поведение может трактоваться некоторыми антивирусными производителями как потенциально нежелательное.

Подозрительные признаки на март 2014 года:

  1. Принудительная установка устаревшей версии клиента Java, в котором на данный момент обнаружены многочисленные уязвимости, открывающие злоумышленникам широкое окно на компьютеры с установленным клиентом Zona. Подобное поведение должно трактоваться как потенциально опасное действие, ведущее к серьёзному снижению их защищенности.
  2. Недобросовестный метод увеличения числа установок своего программного обеспечения — когда рядом с запрашиваемым целевым torrent-файлом пользователю предлагается установочный файл Zona.

В целом программа Zona производит все заявленные в своём функционале действия. Ее нельзя считать вредоносной программой, но можно считать потенциально опасным программным обеспечением, увеличивающим риск заражения пользователей.

Состояние на 16 июня 2014:

  1. Компания Destiny Media выпустила новую версию торрент-клиента Zona, 1.0.2.6 от 04.06.2014 года.
  2. Destiny Media продолжает сотрудничество с torrentino.com, сайт распространяет установочные файлы Zona, равно как и установочные файлы торрент-клиентов иных производителей.
  3. Папка %Program Files%\Java создаётся только для Windows версий Vista и выше, в случае ошибки установки либо наличия Windwos XP на компьютере пользователя Java Runtime Engine устанавливается в папку %Program Files%\Zona\jre (локально, только для использования её в торрент-клиенте Zona), версия пакета во всех случаях- 8.0.5.13 (Java SE 8 Update 5).
  4. Ключи реестра HKEY_CLASSES_ROOT\.bctpuri, HKEY_CLASSES_ROOT\.bcuri более не создаются.
  5. В версии, загружаемой с torrentino.com, теперь видна разница между «быстрой» и «расширенной» версиями установки торрент-клиента, страница с дополнительными настройками торрент-клиента Zona (рисунок 6) появляется только при использовании «расширенной» версии.

Поведение, свойственное опасному (вредоносному) программному обеспечению, включая: шпионскую активность (отправка каких-либо сведений на удалённый сервер), установку вредоносных программ, установку руткитов, работу в качестве кейлоггера, трояна или червя, заражение исполняемых файлов, либо атак на целостность данных либо системы в целом, не обнаружено. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru