Перейти к содержанию

Recommended Posts

K_Mikhail

В свете недавнего сообщения "Доктор Веб" о своей позиции в отношение торрент-клиента MediaGet, мне показалось интересным исследование на Роем.ру действий программы Guard.mail.ru с точки зрения того, как она работает и какие используются методы её установки.

=====

В последнее время много говорят об успехах Мейл.ру. Надо заметить, что компания действительно движется вперед и планомерно улучшает свои сервисы. Но параллельно она занимается строительством ботнета и массовой раздачей весьма подозрительного софта. Софт этот выглядит, как троян, ведет себя, как троян, даже воспринимается, как троян, но таковым почему-то не признается. Данная статья попробует пролить свет на методы распространения продуктов Мейл.ру. Некоторые из этих методов не только делают жизнь российских пользователей значительно хуже, но и портят рыночные условия, поощряя другие компании участвовать в таких играх.

=====

Читать далее первоисточник...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)

Очень интересно. Действительно проблема есть. Мало того, guard mail частенько начинает чудить на ПК. Всегда выношу эту ахинею с компов. А тулбары это вообще зло. Иногда встречается по 10 штук. ИЕ выглядит очень интересно в таком случае. А хуже всего, что очень часто из-за тулбаров ИЕ наглухо отказывается работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Вопрос в том, что в свете:

Установить [email protected] В процессе вам покажут окошко с чекбоксами, где предлагается сделать Мейл стартовой страницей, поиском по умолчанию, поставить Спутник@Mail.ru и Guard.mail.ru. Кстати, обе программы будут вам установленны даже в том случае, если вы сняли галочки.
Установить себе ICQ – с сайта http://icq.com, либо с http://icq.mail.ru. В процессе установки, вам про Guard не скажут и отказаться от его установки не дадут. Зато в списке "настройка установки" будет пункт "защищать настройки браузеров".
Получить письмо от любого абонента почты Мейл.ру со вложением, добавленным с помощью сервиса http://files.mail.ru. Вы открываете письмо, хотите скачать файл. Вам предлагают воспользоваться быстрым скачиванием, которое вы и выбираете и вместо ожидаемого файла получаете exe "загрузчика@mail.ru". При его установке тоже появляются опции, в которых спрятан Guard. Если снять галочки, Спутник и Guard все равно будут установлены.

хватит ли производителям антивирусов политической воли задетектировать подобные вещи от Мейл.ру как Adware или (хотя бы!) как PUP, и занести ресурсы распространения этих программ в список блокируемых сайтов. Аналогично как в случае с MediaGet и Dr.Web.

Ради того, чтобы те, кому мы доверяем в вопросах безопасности – антивирусные компании (Лаборатория Касперского, Eset, Аваст, Avira, AVG, TrendMicro, McAfee и многие другие) стали наконец защищать менее просвещенных пользователей от программы [email protected] в ее текущем виде (блокировать, удалять, нейтрализовывать)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Наверное, не мне давать совет в таких случаях, но все же выскажу свое личное мнение. Я бы поступил так. В начале связался с руководством или с ответственными лицами вендора и предупредил, что их ПО ведет себя как Adware или PUP, поэтому АВ лаборатория будет вынуждена внести их в соответствующие списки и выпустить необходимую сигнатуру для обеспечения детектирования этого ПО, если вендор не внесет коррективы в программный код. Если предупреждение будет проигнорировано и коррективы не будут внесены, то выпустить сигнатуру для защиты своих пользователей.

Но есть один существенный контраргумент. ПО этого вендора пользуется большой популярностью в России. Проблема в том как объяснить его пользователям, что детектирование обосновано и не является ошибочным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Мне подсказывают: mailrusputnik.exe \Mail.Ru\Agent\Mra\dll Adware.Downware.195

Уже хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik

Не могу не поддержать, эти тулбары, всякие назойливые свистоперделки бесят ужасно <_< Мало того, в куче программ они ставятся втихую или отказ спрятан за 10 менюшкой. Отстреливать их за такое надо, а не цацкатся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

ВНЕЗАПНО узнали из Роем то, что я тут уже давно рассказал: http://www.anti-malware.ru/forum/index.php?showtopic=19213 Мне казалось уже нет людей, которые бы не знали о Гарде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Значит, склероз обуял... -_-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Мне не понятна была истерия, которая охватила, казалось бы, гиковские ресурсы. На Хабре пост вызвал негодование, в Жуйке сообщение ушло в топ. Это ж все было всем давно известно, как мне казалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Просто наболело, наверное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

???

ИМХО нормально на форуме ему ответили

Судя по читатам с ТП - там тоже...

Если юзаешь всякие левые схемы - то ССЗБ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Это не левые схемы. Это обычная схема для Android. Автор ПО может использовать рекламный модуль в своих приложениях. Так делают даже в Angry Birds.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
Но есть один существенный контраргумент. ПО этого вендора пользуется большой популярностью в России. Проблема в том как объяснить его пользователям, что детектирование обосновано и не является ошибочным.

Имхо легко объяснить - дополнительно настройку сделать для детекта ПО такого поведения и проинформировать пользователя о том, что будет проверяться при активации данной опции.

В начале связался с руководством или с ответственными лицами вендора и предупредил, что их ПО ведет себя как Adware или PUP, поэтому АВ лаборатория будет вынуждена ...

? А предупреждение руководства и ответственных лиц является обязанностью, за неисполнение которой добрая и справедливая длань закона догонит и отвесит подзатыльник в воспитательных целях. ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Это не левые схемы. Это обычная схема для Android. Автор ПО может использовать рекламный модуль в своих приложениях. Так делают даже в Angry Birds.

Не знал :blink:

Ориентируюсь исключительно на ПК

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Наверное, не мне давать совет в таких случаях, но все же выскажу свое личное мнение. Я бы поступил так. В начале связался с руководством или с ответственными лицами вендора и предупредил, что их ПО ведет себя как Adware или PUP, поэтому АВ лаборатория будет вынуждена внести их в соответствующие списки и выпустить необходимую сигнатуру для обеспечения детектирования этого ПО, если вендор не внесет коррективы в программный код. Если предупреждение будет проигнорировано и коррективы не будут внесены, то выпустить сигнатуру для защиты своих пользователей.

Похоже на заказуху. ИМХО. Да и не все так страшно, как написано в статье. Детектить, на мой взгяд, приличным компаниям его не стоит. Ведет агрессивно - да. Но не более. А удалить его можно из стандартного меню Установка и удаление программ, причем эту информацию юзер может получить в один клик во всплывающем окне Guard'а, а не с такими танцами с бубном, как там написано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Dragokas Да, сегодня искал по данному вопросу информацию. https://ru.bmstu.wiki/Кража_веб-страниц,_запускаемых_в_браузере_пользователя,_с_использованием_уязвимостей_графического_процессора + Ещё будет полезна информация полученная по:  tasklist  [ Память ] https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/tasklist  
    • Dragokas
      Раз уж в них такие нестыковки по показаниям GPU, проще наверное взять исходники какого-нибудь консольного майнера. Там обычно отображаются и учитываются все такие нагрузки, уже заточена поддержка под несколько видеокарт и даже можно задать ограничения. Можно начать с NiceHashMiner - там внутри папки есть все наиболее популярные майнеры и дальше уже смотреть, у какого из них есть исходник, в крайнем случае списаться с автором.
    • Dragokas
    • demkd
      Сейчас посмотрел в Windows 10 1803, PH показал загрузку, но вот только отличие от реальной более чем в 2 раза xD
      PE показал на процент больше, но считай тоже самое, виндовый диспетчер задач показал менее процента при реальной загрузке близкой к 100%
      Вывод очевиден: надо делать самому с нуля, почитаю что там умеет dx оценю объем работ, если он небольшой то сделаю, если нет то когда-нибудь...

      Посмотрел что показывает PE на Windows 7 с 4-мя картами загруженными майнингом на 100%:
      Как бы он вообще не видит что zecminer64 насилует все 4 карты одновременно


      ProcessHacker повел себя идентично, копипаст рулит, одинаковые ошибки в одинаковых случаях.
    • PR55.RP55
      Знак GPU  на груди у него больше не знали о нём ничего. ProcessHacker Source code: https://processhacker.sourceforge.io/downloads.php + https://github.com/processhacker/processhacker/blob/569da8a8d9c581c5c744cf2146f9b746766395ed/plugins/ExtendedTools/gpumon.c И в Process Explorer   Который уже раз пишу...
×