Мошенничество компании Яндекс

[Виталий Я. 859]

Нет ли желания тему разделить?

[Зайцев Олег 402]

Разделить неплохо бы ... если вернуться к сути проблем топикстартера:

Объясняю причину Punto Switcher после установки внедряеся на ВСЕГДА (даже стандартное удаление не помогает) в процесс т svchost.exe по 80 порту через уязвимость в утилите обновления Windows Update

Я не совсем понял - это как ? (т.е. я просто пытаюсь осмыслить суть фразы - не вышло)

у меня в КВС стоит у некоторых любителей PS, ничего он вроде не передают никуда - я поставил его смеха ради на полигоне.

Поехали по пунктам:

1. Файлики qmgr0.dat и qmgr1.dat порождаются системой BITS ... независимо от того, есть на ПК что-то от Yandex на или его нет. Там хранятся сведения о заданиях BITS, и пока служба эта активна - файлы будут создаваться и держаться монопольно открытыми.

2. все, что обновляет/качает что-то через BITS оставит там свои следы (там видны закачки Windows Upbate, обновлятора Adobe Acrobat и т.п. - там видны все задания по закачке чего либо через BITS). Ничего удивительного и криминального в этом в общем-то нет, более того - сведения об успешно выполненных заданиях могут быть видны в этих файлах весьма продолжительное время. И естетсвенно, что если я например удалю тот-же Adobe Acrobat, то "хвосты" от заданий его обновлятора будут видны в qmgr0.dat и qmgr1.dat пока BITS не подчистит его;

3. Если внимательно посмотреть на свойства службы BITS, то увидим там "C:\WINDOWS\system32\svchost.exe -k netsvcs". Т.е. что выходит ? А выходит то, что нет никакого "внедрения в процесс svchost" и не было никогда Равно как нет ничего аномального в сетевой активности svchost - это не более как BITS выполняет поставленные есть фоновые задания

4. Ставим Punto. У него обнаруживается автоматический отключаемый обновлятор - ничег криминального он не делает. Плюс установщик создает задание BITS передает отметку об успешной инсталляции для ведения статистики. Запросы имеют вид:

http://soft.export.yandex.ru/status.xml?ya...ver=5.1,SP2,x86

ответ - подтверждение получения информации.

5. Установка тулбара сопровождается аналогичной отправкой статистики (http://soft.export.yandex.ru/status.xml?yasoft=barie& clid=21974&ui={2a17971f-9392-46ea-a79d-1a2ddea916fd}&ver=5.1.3.1234&os=winnt&stat=install) через BITS, ну и плюс тулбар подкачивает всякую фигню, как и положено тулбару (отзывы по посещаемым сайтам, погоду, курсы валут и прочую ерунду - тулбар как тулбар

PS: за время экспериментов на полигоне номер моей кредитки так и не был похищен злобным BITS

[Андрей-001 1099]

Файлики qmgr0.dat и qmgr1.dat порождаются системой BITS

Олег, а если BITS отключена (для чего и почему объяснять не надо - отключена с пониманием цели), то стучалка перестанет работать?

поставил его смеха ради на полигоне.

И что есть полигон в данном контексте?

[Killer 55]

Я не совсем понял - это как ? (т.е. я просто пытаюсь осмыслить суть фразы - не вышло)

Я, вобщем то, тоже не понял Ну внедриться в процесс можно, конечно, многими способами, но как это сделать "через уязвимость в утилите обновления Windows Update", я точно не знаю

Плюс установщик создает задание BITS передает отметку об успешной инсталляции для ведения статистики.

Я, конечно, не читал пользовательское соглашение, но вот _явно_ я не давал разрешений на подобные ведения статистики.

внедряеся на ВСЕГДА (даже стандартное удаление не помогает) в процесс т svchost.exe

Вопрос к ТС: если вы уж заговорили про внедрение, не скажете, каким образом он туда внедряется? Инжект DLL не подходит - проверял. Если выключить обновлялку, Пунто в сеть не ломится... Единственное - он ставит глобальный хук на клаву - но это и понятно.

А вообще, ТС "+" за бдительность.

[Deja_Vu 366]

типа если бы передавались по http - желание верить появилось бы ?

естественно, ведь посмотреть не проблема

[Danilka 678]

естественно, ведь посмотреть не проблема

Прикольно наверно наблюдать, как утекают твои данные по кредитке.

[Deja_Vu 366]

Прикольно наверно наблюдать, как утекают твои данные по кредитке.

Но, тему можно уже закрывать. Олег достаточно подробно расписал все - так что Яндекс реабилитирован.

[Killer 55]

так что Яндекс реабилитирован.

Ну я бы так не сказал сходу Копаюсь сейчас в драйвере, начнем с того, что есть такие строки:

lea     r8, Srch       ; "\\firefox.exe"lea     rcx, [rsp+238h+Source]; lpSourcexor     edx, edx       ; lpLastcall    cs:StrRStrIWcmp     rax, rbxjnz     short loc_180001D1F

которые вызываются вот этой подпрограммой:

lea     rcx, [rbx+10h]call    sub_180003A64lea     rcx, [rbx+30h]  call    sub_180001AD0lea     rcx, [rbx+28h]call    sub_180001C74mov     al, 1

Скажите, зачем пунтосвичеру определять тип браузера?

[Зайцев Олег 402]

1. Олег, а если BITS отключена (для чего и почему объяснять не надо - отключена с пониманием цели), то стучалка перестанет работать?

2. И что есть полигон в данном контексте?

1. Да, если BITS вырубить, то естественно принимать задания фоновой закачки и исполнять их будет некому (и файлики с заданиями можно будет поубивать, и они не более появятся)

2. Полигон - это несколько ПК, на которых имеется эталонная операционка, есть функционал отката на это самое эталонное состояние, весь их сетевой обмен перехватывается и мониторится ... И как следствие, там я могу без проблем воспроизводить различные ситуации и наблюдать, что будет и как. А так как состояния полигона заранее известно и описано БД, то можно четко сказать, что к примеру изменялось и где патчилось, что поменялось в реестре. Применяется это в основном для изучения малварей, но полезно и в подобных ситуациях

[Андрей-001 1099]

Зайцев Олег

Благодарю, с BITS я так и поступаю. Включаю только, когда в этом есть необходимость, связанная с обновлениями MS.

[Виталий Я. 859]

Скажите, зачем пунтосвичеру определять тип браузера?

Совместимость с Яндекс.Баром, который "на борту" стоит?

[Андрей-001 1099]

Совместимость с Яндекс.Баром, который "на борту" стоит?

Плюс - предлагать скачать "свой" IE8 - _http://ie.yandex.ru/

[Killer 55]

Совместимость с Яндекс.Баром, который "на борту" стоит?

Плюс - предлагать скачать "свой" IE8 - _http://ie.yandex.ru/

Как бы вам сказать, чтоб не обидеть.... Дизасмить все мне лениво, я просто одним глазком глянул. Пытаюсь донести правду:

Я дизасмил хукающую либу(запомните, этот факт важен) @Хук http://en.wikipedia.org/wiki/Hook_(programming)@

То, что вы говорите про всякие бары - решается на этапе инсталяции(ставим галочки), т е когда это еще не работает(программа не запущена). Да и инсталятор проверяет все по ключам реестра или по веткам каталогов, но уж точно не через pshook64.dll:)

Так что это отпадает на 100%

[Виталий Я. 859]

То, что вы говорите про всякие бары - решается на этапе инсталяции(ставим галочки), т е когда это еще не работает(программа не запущена). Да и инсталятор проверяет все по ключам реестра или по веткам каталогов, но уж точно не через pshook64.dll:)

Так есть же еще ввод в окне браузера... Ладно, не мне рассуждать о фичах продукта.

[Зайцев Олег 402]

Я дизасмил хукающую либу(запомните, этот факт важен) @Хук http://en.wikipedia.org/wiki/Hook_(programming)@

На самом деле переключение раскладки - это не так просто, как кажется. Пример - браузер (например тот-же FF), форма запроса пароля. Положим, пароль пользователя "Nht[dtlthyfzRkbpmvf" - что будет, если переключалка не поймет, что ввод производится в поле для ввода пароля WEB-формы браузера X ?! (можно попробовать - поставить Punto и ввести указанное в блокнот). А будет простая штука - фолса. Пароль не подойдет, после N попыток учетку заблокируют, пользоватль обидится на создателей Punto и выкинет его нафиг. именно по этому в теории должен быть детект популярных браузеров, исключения (по заголовку окна и по приложению как минимум, дабы например детектить окна ввода пароля и не переключать в них ничего). В данном примере если посмотреть на код DLL - она проста до безобразия, там:

Если в реестре задан параметр PasswordDetect !=0 в ключе HKEY_CURRENT_USER\Software\Yandex\Punto Switcher\3.1\PSHook32, то  Если имя исполняемого файла без учета регистра оканичивается на "\firefox.exe" или "\iexplore.exe", то {    перехватить в Kernel32.dll ряд функций (LoadLibrary,LoadLibraryEx, GetProcAddress)    перехватить функцию ExtTextOutW в GDI32.DLL}

По умолчанию этого параметра нет (по крайней мере у меня на полигоне после инсталла), и поэтому код, сравнивающий имя процесса с указанными именами процессов браузеров попросту никогда не получает управление, и хуки не устанавливаются ...

PS: настройки обновлятора казываеттся вся в реесре - HKEY_CURRENT_USER\Software\Yandex\Yupdate-BITS-CM\Applications\punto

[Killer 55]

"Кто то скажет, что стакан наполовину пуст, кто то - наполовину полон" Это на трой какой то похоже

форма запроса пароля. Положим, пароль пользователя "Nht[dtlthyfzRkbpmvf" - что будет, если переключалка не поймет

Бр-р-р-р Переключалка должна понять, когда я ввожу пасс Жестко, однако

Читал подобное про FF на баше, передам примерно суть: там если ввести пароль(12345) и нажать на "никогда не сохранять пароли", то при вводе повторно _того же_ пароля - он(FF) спрашивать не будет. А вот если ввести другой пароль(на том же сайте, в ту же форму), то спросит опять Типа "Я, конечно, не знаю, какой пароль тут был, но точно не такой"

[Зайцев Олег 402]

"Кто то скажет, что стакан наполовину пуст, кто то - наполовину полон" Это на трой какой то похоже

Ничего троянского там нет совершенно - так как во первых этот код по умолчанию не работает, а во вторых - хук указанной функции не несет никакой угрозы ...

[sceptic 100]

именно по этому в теории должен быть детект популярных браузеров, исключения (по заголовку окна и по приложению как минимум, дабы например детектить окна ввода пароля и не переключать в них ничего)

эмм..

а не многовато прав для переключателя раскладки?

проще юзать Key Switcher 2.5 которая работает именно как переключатель раскладки и не более.

а всё что заточено под [вырезано] простите яндекс, гугл, или ещё что либо - будет работать на хозяина, а не на вас.

имхо, это очевидно.

Ничего троянского там нет совершенно

верю на слово

однако мониторинг ваших интеренет-предпочтений, для дальнейшего втюхивания вам "целевой" рекламы, это какбэ и не троян в чистом виде,

но приятного мало.

Отредактировал Сентябрь 24, 2010 Mr. Justice
Нарушение п. 11.4 Правил форума

[Killer 55]

мониторинг ваших интеренет-предпочтений, для дальнейшего втюхивания вам "целевой" рекламы

А я то думаю, что у меня постоянно порно лезет?

[alexgr 556]

как мне кажется - с темой топикстартера разобрались? Нет никакого мошенничества, нет паролей к платежной карте. Может, эту пора закрыть и открыть новую, скажем, в разделе ЛК?

[Umnik 997]

alexgr

Да топик пусть открыт, главное чтобы оффтопа и флейма не было. А тему уже разделил: http://www.anti-malware.ru/forum/index.php?showtopic=15250 и http://www.anti-malware.ru/forum/index.php?showtopic=15251