Перейти к содержанию

Recommended Posts

K_Mikhail

В свете недавнего сообщения "Доктор Веб" о своей позиции в отношение торрент-клиента MediaGet, мне показалось интересным исследование на Роем.ру действий программы Guard.mail.ru с точки зрения того, как она работает и какие используются методы её установки.

=====

В последнее время много говорят об успехах Мейл.ру. Надо заметить, что компания действительно движется вперед и планомерно улучшает свои сервисы. Но параллельно она занимается строительством ботнета и массовой раздачей весьма подозрительного софта. Софт этот выглядит, как троян, ведет себя, как троян, даже воспринимается, как троян, но таковым почему-то не признается. Данная статья попробует пролить свет на методы распространения продуктов Мейл.ру. Некоторые из этих методов не только делают жизнь российских пользователей значительно хуже, но и портят рыночные условия, поощряя другие компании участвовать в таких играх.

=====

Читать далее первоисточник...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)

Очень интересно. Действительно проблема есть. Мало того, guard mail частенько начинает чудить на ПК. Всегда выношу эту ахинею с компов. А тулбары это вообще зло. Иногда встречается по 10 штук. ИЕ выглядит очень интересно в таком случае. А хуже всего, что очень часто из-за тулбаров ИЕ наглухо отказывается работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Вопрос в том, что в свете:

Установить Agent@Mail.ru. В процессе вам покажут окошко с чекбоксами, где предлагается сделать Мейл стартовой страницей, поиском по умолчанию, поставить Спутник@Mail.ru и Guard.mail.ru. Кстати, обе программы будут вам установленны даже в том случае, если вы сняли галочки.
Установить себе ICQ – с сайта http://icq.com, либо с http://icq.mail.ru. В процессе установки, вам про Guard не скажут и отказаться от его установки не дадут. Зато в списке "настройка установки" будет пункт "защищать настройки браузеров".
Получить письмо от любого абонента почты Мейл.ру со вложением, добавленным с помощью сервиса http://files.mail.ru. Вы открываете письмо, хотите скачать файл. Вам предлагают воспользоваться быстрым скачиванием, которое вы и выбираете и вместо ожидаемого файла получаете exe "загрузчика@mail.ru". При его установке тоже появляются опции, в которых спрятан Guard. Если снять галочки, Спутник и Guard все равно будут установлены.

хватит ли производителям антивирусов политической воли задетектировать подобные вещи от Мейл.ру как Adware или (хотя бы!) как PUP, и занести ресурсы распространения этих программ в список блокируемых сайтов. Аналогично как в случае с MediaGet и Dr.Web.

Ради того, чтобы те, кому мы доверяем в вопросах безопасности – антивирусные компании (Лаборатория Касперского, Eset, Аваст, Avira, AVG, TrendMicro, McAfee и многие другие) стали наконец защищать менее просвещенных пользователей от программы Guard@Mail.ru в ее текущем виде (блокировать, удалять, нейтрализовывать)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Наверное, не мне давать совет в таких случаях, но все же выскажу свое личное мнение. Я бы поступил так. В начале связался с руководством или с ответственными лицами вендора и предупредил, что их ПО ведет себя как Adware или PUP, поэтому АВ лаборатория будет вынуждена внести их в соответствующие списки и выпустить необходимую сигнатуру для обеспечения детектирования этого ПО, если вендор не внесет коррективы в программный код. Если предупреждение будет проигнорировано и коррективы не будут внесены, то выпустить сигнатуру для защиты своих пользователей.

Но есть один существенный контраргумент. ПО этого вендора пользуется большой популярностью в России. Проблема в том как объяснить его пользователям, что детектирование обосновано и не является ошибочным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Мне подсказывают: mailrusputnik.exe \Mail.Ru\Agent\Mra\dll Adware.Downware.195

Уже хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik

Не могу не поддержать, эти тулбары, всякие назойливые свистоперделки бесят ужасно <_< Мало того, в куче программ они ставятся втихую или отказ спрятан за 10 менюшкой. Отстреливать их за такое надо, а не цацкатся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

ВНЕЗАПНО узнали из Роем то, что я тут уже давно рассказал: http://www.anti-malware.ru/forum/index.php?showtopic=19213 Мне казалось уже нет людей, которые бы не знали о Гарде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Значит, склероз обуял... -_-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Мне не понятна была истерия, которая охватила, казалось бы, гиковские ресурсы. На Хабре пост вызвал негодование, в Жуйке сообщение ушло в топ. Это ж все было всем давно известно, как мне казалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Просто наболело, наверное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

???

ИМХО нормально на форуме ему ответили

Судя по читатам с ТП - там тоже...

Если юзаешь всякие левые схемы - то ССЗБ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Это не левые схемы. Это обычная схема для Android. Автор ПО может использовать рекламный модуль в своих приложениях. Так делают даже в Angry Birds.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
Но есть один существенный контраргумент. ПО этого вендора пользуется большой популярностью в России. Проблема в том как объяснить его пользователям, что детектирование обосновано и не является ошибочным.

Имхо легко объяснить - дополнительно настройку сделать для детекта ПО такого поведения и проинформировать пользователя о том, что будет проверяться при активации данной опции.

В начале связался с руководством или с ответственными лицами вендора и предупредил, что их ПО ведет себя как Adware или PUP, поэтому АВ лаборатория будет вынуждена ...

? А предупреждение руководства и ответственных лиц является обязанностью, за неисполнение которой добрая и справедливая длань закона догонит и отвесит подзатыльник в воспитательных целях. ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Это не левые схемы. Это обычная схема для Android. Автор ПО может использовать рекламный модуль в своих приложениях. Так делают даже в Angry Birds.

Не знал :blink:

Ориентируюсь исключительно на ПК

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Наверное, не мне давать совет в таких случаях, но все же выскажу свое личное мнение. Я бы поступил так. В начале связался с руководством или с ответственными лицами вендора и предупредил, что их ПО ведет себя как Adware или PUP, поэтому АВ лаборатория будет вынуждена внести их в соответствующие списки и выпустить необходимую сигнатуру для обеспечения детектирования этого ПО, если вендор не внесет коррективы в программный код. Если предупреждение будет проигнорировано и коррективы не будут внесены, то выпустить сигнатуру для защиты своих пользователей.

Похоже на заказуху. ИМХО. Да и не все так страшно, как написано в статье. Детектить, на мой взгяд, приличным компаниям его не стоит. Ведет агрессивно - да. Но не более. А удалить его можно из стандартного меню Установка и удаление программ, причем эту информацию юзер может получить в один клик во всплывающем окне Guard'а, а не с такими танцами с бубном, как там написано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×