Перейти к содержанию
K_Mikhail

Официальное разъяснение ситуации с занесением торрент-клиента MediaGet в базы Dr.Web

Recommended Posts

K_Mikhail

Официальное разъяснение ситуации с занесением торрент-клиента MediaGet в базы Dr.Web

10 февраля 2012 года

Компания «Доктор Веб» разъясняет ситуацию с включением торрент-клиента MediaGet в список потенциально опасных приложений, которое произошло в сентябре 2011 года. На данный момент антивирусные продукты Dr.Web блокируют посещение сайта разработчиков программы и ряда других ресурсов, размещающих ссылки на ее скачивание, — все они добавлены в базы Dr.Web с резолюцией «Нерекомендуемый сайт».

После тщательного анализа схемы распространения торрент-клиента MediaGet специалисты компании «Доктор Веб» приняли решение занести его в базы Dr.Web под именем Program.MediaGet. Очевидно, что метод, используемый для повышения числа установок программы на пользовательских компьютерах, является недобросовестным.

Для распространения программы ее разработчиками была создана так называемая «партнерская программа», в рамках которой всем желающим предлагалось за определенное вознаграждение принять участие в «популяризации» торрент-клиента. Отметим, что несколько дней назад страница с описанием программы была оперативно удалена владельцами сайта MediaGet, однако сохранилась в кэше поисковой системы Google.

В рамках этой программы владельцы ряда интернет-ресурсов, распространяющих разнообразный медиа-контент, в числе прочего используют на своих площадках специальные ссылки вида:

_http://mediaget.com/torrent.php?r=<адрес интернет-ресурса>&s=<имя>+<фильма>.

Подобные ссылки, соответственно, размещаются на страницах с описаниями фильмов и крепятся к кнопкам с текстом «Скачать бесплатно <название фильма> с помощью MediaGet» (текст может варьироваться от ресурса к ресурсу). При нажатии на кнопку на компьютер пользователя загружается установочный файл торрент-клиента, при этом имя файла полностью совпадает с названием фильма. По этой причине пользователь с большой долей вероятности запустит данный файл, в результате чего произойдет установка торрент-клиента. В процессе инсталляции пользователю предлагается дополнительно установить тулбар одного популярного интернет-портала: тут важно подчеркнуть, что тулбар устанавливается даже в том случае, когда пользователь отказался от него.

После автоматического запуска программа осуществляет поиск файла для скачивания, однако совершенно не факт, что данный фильм есть в раздаче — в этом случае поиск не приводит к каким-либо результатам, и пользователь не получает того, что искал. При этом цель распространителей MediaGet достигнута: торрент-клиент уже установлен на его компьютере.

Такая схема распространения программного обеспечения признается компанией «Доктор Веб» как потенциально опасная, так как вводят пользователей в заблуждение и предусматривают установку ПО на компьютер без их принципиального согласия. В случае если разработчики MediaGet перейдут к прозрачным и добросовестным методам продвижения, решение о включении торрент-клиента в базы Dr.Web может быть пересмотрено.

Адреса размещающих подобные ссылки ресурсов оперативно заносятся в базы Dr.Web в качестве не рекомендуемых для посещения. Компания «Доктор Веб» призывает своих пользователей проявлять бдительность во время посещения интернет-сайтов и соблюдать соответствующие меры предосторожности.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)

А что, всё правильно. Кстати эта программулина, не знаю почему, на двух машинах, что встречались, вешала работу с http. Выключаешь - можно сёрфить, запускаешь - глохнет. Особо не разбирался и снёс

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Навскидку: https://www.virustotal.com/file/696e8f38081...b0b19/analysis/

NOD32 их тоже детектит. На отсутствие детекта по Dr.Web не следует обращать внимание - на Тотале в настройках сканера Dr.Web, похоже, отключено детектирование потенциально опасных программ (Program.*).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
Навскидку: https://www.virustotal.com/file/696e8f38081...b0b19/analysis/

NOD32 их тоже детектит. На отсутствие детекта по Dr.Web не следует обращать внимание - на Тотале в настройках сканера Dr.Web, похоже, отключено детектирование потенциально опасных программ (Program.*).

Ага, ясно. Спасибо за информацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

http://forum.kaspersky.com/index.php?showt...227007&st=0

Продукты ЛК детектят при условии, что установлена галочка "Другие".

Но тем временем: http://trusted.kaspersky.com/c406bfeff6640...7a/MGET348/info :) Как бы подтверждает, программа безвредна, но все равно детект есть (включается ручками), так как не особо хорошее поведение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
http://forum.kaspersky.com/index.php?showt...227007&st=0

Продукты ЛК детектят при условии, что установлена галочка "Другие".

Но тем временем: http://trusted.kaspersky.com/c406bfeff6640...7a/MGET348/info :) Как бы подтверждает, программа безвредна, но все равно детект есть (включается ручками), так как не особо хорошее поведение.

Бардак или by design?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Бардак или by design?

По задумке все ок. Программа безвредна? Безвредна. Отсюда пометка наша. То, что она распространяется не совсем честно - да, не честно, за это и детектится (для тех кому нужны эти детекты). Все логично. Так можно и с рискварами и т.п. Хотя лично по мне - для обычного юзера все это будет нифига не понятно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
MD5*: C406BFEFF66408B65DC8BD3E46696B7A

Однако :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
По задумке все ок. Программа безвредна? Безвредна. Отсюда пометка наша. То, что она распространяется не совсем честно - да, не честно, за это и детектится (для тех кому нужны эти детекты). Все логично. Так можно и с рискварами и т.п. Хотя лично по мне - для обычного юзера все это будет нифига не понятно. :)

Моё мнение -- если программа в чём-то лукава, то ей не место в вайт-листе. Сейчас же создаётся больше путаницы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

На сколько я вижу, в вайтлисте указан конкретный md5...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Вот это удивляет:

тулбар устанавливается даже в том случае, когда пользователь отказался от него

То есть программа явно совершает действия, несанкционированные пользователем, а значит является вредоносной.

Если это действительно так, то детектирование этой программы, по умолчанию, можно признать верным и обоснованным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
В процессе инсталляции пользователю предлагается дополнительно установить тулбар одного популярного интернет-портала: тут важно подчеркнуть, что тулбар устанавливается даже в том случае, когда пользователь отказался от него.

Babylon? Mail? SweetIM? Без моего согласия не установились.

2012_02_11_16_48_55.png

2012_02_11_16_56_06.png

post-4500-1328964791_thumb.png

post-4500-1328965168_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
По задумке все ок. Программа безвредна? Безвредна.

...для обычного юзера все это будет нифига не понятно. :)

Для обычного юзера Dr.WEB все это будет понятно:

Dr.WEB.jpg

post-14902-1332782333_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Для обычного юзера Dr.WEB все это будет понятно:

Это вообще к чему? Доброе утро..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
«Доктор Веб» приняли решение занести его в базы Dr.Web
Это вообще к чему? Доброе утро..

Это вообще к тому:

http://best-dem.ru/doktor-skazal-v-morg-znachit-v-morg.html

Покойной ночи...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~

Anubis

Analysis Report for http://download.media-get.com/download_mg.php?

Description Risk

Performs File Modification and Destruction: The executable modifies and destructs files which are not temporary.

Changes security settings of Internet Explorer: This system alteration could seriously affect safety surfing the World Wide Web.

Performs Registry Activities: The executable creates and/or modifies registry entries.

etc.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik

Нормальная ситуация. Замудрили с установкой. С тулбарами отдельная ситуация, вообще походу расстреливать нужно за скрытые установки тулбаров и изменения поиска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
С тулбарами отдельная ситуация, вообще походу расстреливать нужно за скрытые установки тулбаров и изменения поиска.

Тогда много кого придётся расстрелять, к примеру - Mail.ru Group за их клиента ICQ , при установке этого клиента само окно инсталлятора сделано очень хитро, невнимательный пользователь обязательно отхватит себе этот косяк, если только во время установки не переставит галку на позицию вниз и не сдвинет прокруткой до самого упора, чтобы прочитать внизу ещё три очень "полезных" для него пункта:

1) Установить поиск от указанной компании поиском по-умолчанию

2) Сделать Mail.ru домашней страницей

3) Установить дополнительно всякую ненужную пользователю фигню, которая его вроде бы будет защищать от всевозможных бед.

Вот только Mail.ru Group никто за эти "милые" шалости не блокирует и не вносит в черные списки :)

P.S. Клиент ICQ скачан был мной только что, самый свежайший, цифровая подпись от 26 июня 2012 года, так что косячок до сих пор актуален, в своё время за такие проделки создателей программы QIP хотели тоже расстрелять, но они вроде бы потом что-то поменяли в своём установщике ))

icq_001.jpg

icq_003.jpg

post-3858-1342986087_thumb.jpg

post-3858-1342986835_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Замудрили с установкой. С тулбарами отдельная ситуация, вообще походу расстреливать нужно за скрытые установки тулбаров и изменения поиска.

Не все так однозначно. Я общался с разработчиками MediaGet на эту тему. Скрытой установки тулбара у них не было. По крайней мере такую сборку найти не удалось, об этом написал только Доктор. Возможно, они сделали это так сказать "до кучи". Более того, была описана проблема, что снимаешь галочку установки тулбара, а он все равно устанавливается. Это совсем другое, согласитесь, чем "скрытая установка".

С установкой MediaGet тоже ав-компании ИМХО слишком жестко стали трактовать, не разобравшись в вопросе. Да, используется партнерка, которая на торрент-сайтах ставит альтернативную ссылку на загрузку, где грузится не файл .torrent, а файл exe с тем же именем. По задумке разработчиков это сделано в расчете на удобство братьев наших меньших, которые что такое торренты, клиенты, ссылки, раздачи и тп не знают и не хотят знать. Они качают exe и он все делает сразу сам. Удобно для многих.

P.S. Я не оправдываю MediaGet, просто не стоит сразу вот так зарубать проекты потому, что они не попадают в некоторый привычный шаблон.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Вот только Mail.ru Group никто за эти "милые" шалости не блокирует и не вносит в черные списки :)

Их расстрелять первыми за кучу гадости в виде домашних страниц, тутбаров, гуард агентов .спутников и прочего барахла. Вот что-что бы я купил, это антивир ,блокирующий в принципе установку всего барахла (домашние страницы, тулбары, агенты, поисковики, ненужный софт) предлагаемого или скрыто устанавливаемого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В продолжение истории мы решили опубликовать результаты экспертизы торрент-клиента MediaGet на вредоносность и принадлежность к классу нежелательного ПО

http://www.anti-malware.ru/Threats_Analysi...diaget_analysis

На настоящий момент разработчики устранили все сомнительные "фичи" и ИМХО сейчас нет никаких причин для детектирования этой программы. Если только из-за упрямства из принципа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Взять вот MediaGet, по его поводу было проведено АМ особое исследование:

http://www.anti-malware.ru/Threats_Analysi...diaget_analysis

Поведение было признано нормальным, клиент невредоносным.

Вот еще одно исследование MediaGet, мнение инное.. )

https://lurkmore.to/Участник:P2p/MediaGet

Кому верить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Уже, не актуально, сняли с баз.. )

https://www.virustotal.com/ru/file/ea90d06c...7f05c/analysis/

п.с

ранее, тоже разных "страшилок" начитавшись, шугался от MediaGet, как от черта.)) Всячески избегал его услуг..

Но вчера, увидев отчет экспертизы от АМ о MediaGet, решил попробовать..

Как ни странно, пока положительные впечатления. Удобный интерфейс, функциональность, много настроек, онлайн просмотр закачиваемого, новинки кино, муз и т.д.., не грузит систему. По сравнению с µTorrent, это как жигули с мерсом сравнивать, имхо. )

Единственно добавило осадок, обзор от https://lurkmore.to/Участник%3aP2p/MediaGet Возможно заказной.. )

Проактивка Комодо, ничего сверх "подозрительного" в действиях MediaGet не наблюдает. :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Единственно добавило осадок, обзор от https://lurkmore.to/Участник%3aP2p/MediaGet Возможно заказной..

Ориентироваться на обзор с лурки -это пять ;)

Хотя, лично я MediaGet не доверяю, есть старый, добрый,проверенный µTorrent :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×