Мыльный цербер

[K_Mikhail 807]

В свете недавнего сообщения "Доктор Веб" о своей позиции в отношение торрент-клиента MediaGet, мне показалось интересным исследование на Роем.ру действий программы Guard.mail.ru с точки зрения того, как она работает и какие используются методы её установки.

=====

В последнее время много говорят об успехах Мейл.ру. Надо заметить, что компания действительно движется вперед и планомерно улучшает свои сервисы. Но параллельно она занимается строительством ботнета и массовой раздачей весьма подозрительного софта. Софт этот выглядит, как троян, ведет себя, как троян, даже воспринимается, как троян, но таковым почему-то не признается. Данная статья попробует пролить свет на методы распространения продуктов Мейл.ру. Некоторые из этих методов не только делают жизнь российских пользователей значительно хуже, но и портят рыночные условия, поощряя другие компании участвовать в таких играх.

=====

Читать далее первоисточник...

[ALEX(XX) 60]

Очень интересно. Действительно проблема есть. Мало того, guard mail частенько начинает чудить на ПК. Всегда выношу эту ахинею с компов. А тулбары это вообще зло. Иногда встречается по 10 штук. ИЕ выглядит очень интересно в таком случае. А хуже всего, что очень часто из-за тулбаров ИЕ наглухо отказывается работать.

[K_Mikhail 807]

Вопрос в том, что в свете:

Установить Agent@Mail.ru. В процессе вам покажут окошко с чекбоксами, где предлагается сделать Мейл стартовой страницей, поиском по умолчанию, поставить Спутник@Mail.ru и Guard.mail.ru. Кстати, обе программы будут вам установленны даже в том случае, если вы сняли галочки.

Установить себе ICQ – с сайта http://icq.com, либо с http://icq.mail.ru. В процессе установки, вам про Guard не скажут и отказаться от его установки не дадут. Зато в списке "настройка установки" будет пункт "защищать настройки браузеров".

Получить письмо от любого абонента почты Мейл.ру со вложением, добавленным с помощью сервиса http://files.mail.ru. Вы открываете письмо, хотите скачать файл. Вам предлагают воспользоваться быстрым скачиванием, которое вы и выбираете и вместо ожидаемого файла получаете exe "загрузчика@mail.ru". При его установке тоже появляются опции, в которых спрятан Guard. Если снять галочки, Спутник и Guard все равно будут установлены.

хватит ли производителям антивирусов политической воли задетектировать подобные вещи от Мейл.ру как Adware или (хотя бы!) как PUP, и занести ресурсы распространения этих программ в список блокируемых сайтов. Аналогично как в случае с MediaGet и Dr.Web.

Ради того, чтобы те, кому мы доверяем в вопросах безопасности – антивирусные компании (Лаборатория Касперского, Eset, Аваст, Avira, AVG, TrendMicro, McAfee и многие другие) стали наконец защищать менее просвещенных пользователей от программы Guard@Mail.ru в ее текущем виде (блокировать, удалять, нейтрализовывать)

[Mr. Justice 771]

Наверное, не мне давать совет в таких случаях, но все же выскажу свое личное мнение. Я бы поступил так. В начале связался с руководством или с ответственными лицами вендора и предупредил, что их ПО ведет себя как Adware или PUP, поэтому АВ лаборатория будет вынуждена внести их в соответствующие списки и выпустить необходимую сигнатуру для обеспечения детектирования этого ПО, если вендор не внесет коррективы в программный код. Если предупреждение будет проигнорировано и коррективы не будут внесены, то выпустить сигнатуру для защиты своих пользователей.

Но есть один существенный контраргумент. ПО этого вендора пользуется большой популярностью в России. Проблема в том как объяснить его пользователям, что детектирование обосновано и не является ошибочным.

[K_Mikhail 807]

Мне подсказывают: mailrusputnik.exe \Mail.Ru\Agent\Mra\dll Adware.Downware.195

Уже хорошо.

[SySOPik 52]

Не могу не поддержать, эти тулбары, всякие назойливые свистоперделки бесят ужасно Мало того, в куче программ они ставятся втихую или отказ спрятан за 10 менюшкой. Отстреливать их за такое надо, а не цацкатся.

[Umnik 997]

ВНЕЗАПНО узнали из Роем то, что я тут уже давно рассказал: http://www.anti-malware.ru/forum/index.php?showtopic=19213 Мне казалось уже нет людей, которые бы не знали о Гарде.

[K_Mikhail 807]

Значит, склероз обуял...

[Umnik 997]

Мне не понятна была истерия, которая охватила, казалось бы, гиковские ресурсы. На Хабре пост вызвал негодование, в Жуйке сообщение ушло в топ. Это ж все было всем давно известно, как мне казалось.

[ak_ 395]

Просто наболело, наверное.

[SDA 750]

Жалобы, предложения http://forum.drweb.com/index.php?showtopic=307716

[Kapral 311]

???

ИМХО нормально на форуме ему ответили

Судя по читатам с ТП - там тоже...

Если юзаешь всякие левые схемы - то ССЗБ

[Umnik 997]

Это не левые схемы. Это обычная схема для Android. Автор ПО может использовать рекламный модуль в своих приложениях. Так делают даже в Angry Birds.

[UIT 103]

Но есть один существенный контраргумент. ПО этого вендора пользуется большой популярностью в России. Проблема в том как объяснить его пользователям, что детектирование обосновано и не является ошибочным.

Имхо легко объяснить - дополнительно настройку сделать для детекта ПО такого поведения и проинформировать пользователя о том, что будет проверяться при активации данной опции.

В начале связался с руководством или с ответственными лицами вендора и предупредил, что их ПО ведет себя как Adware или PUP, поэтому АВ лаборатория будет вынуждена ...

? А предупреждение руководства и ответственных лиц является обязанностью, за неисполнение которой добрая и справедливая длань закона догонит и отвесит подзатыльник в воспитательных целях. ?

[Kapral 311]

Это не левые схемы. Это обычная схема для Android. Автор ПО может использовать рекламный модуль в своих приложениях. Так делают даже в Angry Birds.

Не знал

Ориентируюсь исключительно на ПК

[Danilka 678]

Наверное, не мне давать совет в таких случаях, но все же выскажу свое личное мнение. Я бы поступил так. В начале связался с руководством или с ответственными лицами вендора и предупредил, что их ПО ведет себя как Adware или PUP, поэтому АВ лаборатория будет вынуждена внести их в соответствующие списки и выпустить необходимую сигнатуру для обеспечения детектирования этого ПО, если вендор не внесет коррективы в программный код. Если предупреждение будет проигнорировано и коррективы не будут внесены, то выпустить сигнатуру для защиты своих пользователей.

Похоже на заказуху. ИМХО. Да и не все так страшно, как написано в статье. Детектить, на мой взгяд, приличным компаниям его не стоит. Ведет агрессивно - да. Но не более. А удалить его можно из стандартного меню Установка и удаление программ, причем эту информацию юзер может получить в один клик во всплывающем окне Guard'а, а не с такими танцами с бубном, как там написано.