Перейти к содержанию

Recommended Posts

K_Mikhail

В свете недавнего сообщения "Доктор Веб" о своей позиции в отношение торрент-клиента MediaGet, мне показалось интересным исследование на Роем.ру действий программы Guard.mail.ru с точки зрения того, как она работает и какие используются методы её установки.

=====

В последнее время много говорят об успехах Мейл.ру. Надо заметить, что компания действительно движется вперед и планомерно улучшает свои сервисы. Но параллельно она занимается строительством ботнета и массовой раздачей весьма подозрительного софта. Софт этот выглядит, как троян, ведет себя, как троян, даже воспринимается, как троян, но таковым почему-то не признается. Данная статья попробует пролить свет на методы распространения продуктов Мейл.ру. Некоторые из этих методов не только делают жизнь российских пользователей значительно хуже, но и портят рыночные условия, поощряя другие компании участвовать в таких играх.

=====

Читать далее первоисточник...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)

Очень интересно. Действительно проблема есть. Мало того, guard mail частенько начинает чудить на ПК. Всегда выношу эту ахинею с компов. А тулбары это вообще зло. Иногда встречается по 10 штук. ИЕ выглядит очень интересно в таком случае. А хуже всего, что очень часто из-за тулбаров ИЕ наглухо отказывается работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Вопрос в том, что в свете:

Установить [email protected] В процессе вам покажут окошко с чекбоксами, где предлагается сделать Мейл стартовой страницей, поиском по умолчанию, поставить Спутник@Mail.ru и Guard.mail.ru. Кстати, обе программы будут вам установленны даже в том случае, если вы сняли галочки.
Установить себе ICQ – с сайта http://icq.com, либо с http://icq.mail.ru. В процессе установки, вам про Guard не скажут и отказаться от его установки не дадут. Зато в списке "настройка установки" будет пункт "защищать настройки браузеров".
Получить письмо от любого абонента почты Мейл.ру со вложением, добавленным с помощью сервиса http://files.mail.ru. Вы открываете письмо, хотите скачать файл. Вам предлагают воспользоваться быстрым скачиванием, которое вы и выбираете и вместо ожидаемого файла получаете exe "загрузчика@mail.ru". При его установке тоже появляются опции, в которых спрятан Guard. Если снять галочки, Спутник и Guard все равно будут установлены.

хватит ли производителям антивирусов политической воли задетектировать подобные вещи от Мейл.ру как Adware или (хотя бы!) как PUP, и занести ресурсы распространения этих программ в список блокируемых сайтов. Аналогично как в случае с MediaGet и Dr.Web.

Ради того, чтобы те, кому мы доверяем в вопросах безопасности – антивирусные компании (Лаборатория Касперского, Eset, Аваст, Avira, AVG, TrendMicro, McAfee и многие другие) стали наконец защищать менее просвещенных пользователей от программы [email protected] в ее текущем виде (блокировать, удалять, нейтрализовывать)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Наверное, не мне давать совет в таких случаях, но все же выскажу свое личное мнение. Я бы поступил так. В начале связался с руководством или с ответственными лицами вендора и предупредил, что их ПО ведет себя как Adware или PUP, поэтому АВ лаборатория будет вынуждена внести их в соответствующие списки и выпустить необходимую сигнатуру для обеспечения детектирования этого ПО, если вендор не внесет коррективы в программный код. Если предупреждение будет проигнорировано и коррективы не будут внесены, то выпустить сигнатуру для защиты своих пользователей.

Но есть один существенный контраргумент. ПО этого вендора пользуется большой популярностью в России. Проблема в том как объяснить его пользователям, что детектирование обосновано и не является ошибочным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Мне подсказывают: mailrusputnik.exe \Mail.Ru\Agent\Mra\dll Adware.Downware.195

Уже хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik

Не могу не поддержать, эти тулбары, всякие назойливые свистоперделки бесят ужасно <_< Мало того, в куче программ они ставятся втихую или отказ спрятан за 10 менюшкой. Отстреливать их за такое надо, а не цацкатся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

ВНЕЗАПНО узнали из Роем то, что я тут уже давно рассказал: http://www.anti-malware.ru/forum/index.php?showtopic=19213 Мне казалось уже нет людей, которые бы не знали о Гарде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Значит, склероз обуял... -_-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Мне не понятна была истерия, которая охватила, казалось бы, гиковские ресурсы. На Хабре пост вызвал негодование, в Жуйке сообщение ушло в топ. Это ж все было всем давно известно, как мне казалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Просто наболело, наверное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

???

ИМХО нормально на форуме ему ответили

Судя по читатам с ТП - там тоже...

Если юзаешь всякие левые схемы - то ССЗБ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Это не левые схемы. Это обычная схема для Android. Автор ПО может использовать рекламный модуль в своих приложениях. Так делают даже в Angry Birds.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
Но есть один существенный контраргумент. ПО этого вендора пользуется большой популярностью в России. Проблема в том как объяснить его пользователям, что детектирование обосновано и не является ошибочным.

Имхо легко объяснить - дополнительно настройку сделать для детекта ПО такого поведения и проинформировать пользователя о том, что будет проверяться при активации данной опции.

В начале связался с руководством или с ответственными лицами вендора и предупредил, что их ПО ведет себя как Adware или PUP, поэтому АВ лаборатория будет вынуждена ...

? А предупреждение руководства и ответственных лиц является обязанностью, за неисполнение которой добрая и справедливая длань закона догонит и отвесит подзатыльник в воспитательных целях. ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Это не левые схемы. Это обычная схема для Android. Автор ПО может использовать рекламный модуль в своих приложениях. Так делают даже в Angry Birds.

Не знал :blink:

Ориентируюсь исключительно на ПК

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Наверное, не мне давать совет в таких случаях, но все же выскажу свое личное мнение. Я бы поступил так. В начале связался с руководством или с ответственными лицами вендора и предупредил, что их ПО ведет себя как Adware или PUP, поэтому АВ лаборатория будет вынуждена внести их в соответствующие списки и выпустить необходимую сигнатуру для обеспечения детектирования этого ПО, если вендор не внесет коррективы в программный код. Если предупреждение будет проигнорировано и коррективы не будут внесены, то выпустить сигнатуру для защиты своих пользователей.

Похоже на заказуху. ИМХО. Да и не все так страшно, как написано в статье. Детектить, на мой взгяд, приличным компаниям его не стоит. Ведет агрессивно - да. Но не более. А удалить его можно из стандартного меню Установка и удаление программ, причем эту информацию юзер может получить в один клик во всплывающем окне Guard'а, а не с такими танцами с бубном, как там написано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×