Блокирование сайта www.movienizer.com антивирусом DrWeb

[Pavlenko 0]

Добрый день, коллеги!

Уже более 15 лет мы разрабатываем софт для домашних пользователей, периодически бывали проблемы с антивирусами, которые мы успешно решали. Но сейчас столкнулись с непробиемой реакцией Dr.Web.

Недавно один из наших пользователей пожаловался на то, что не получается скачать дистрибутив с нашего сайта. Dr.Web находит в нем Adware.Downware.8466. Если прогнать файл через VirusTotal, то только 1 срабатывание:

https://www.virustotal.com/en/file/8740171a...sis/1411046939/

Я сразу заполнил форму на сайте Dr.Web о ложном срабатывании, но получил краткий ответ без объяснения причин: "Ваш запрос был проанализирован. Это не ложное срабатывание."

Стал разбираться. Выяснилось, что антивирус ругается только на файл дистрибутива, который собран с помощью InnoSetup. На основной исполняемый файл программы на жалуется.

Более того, ругается только на подписанный цифровой подписью дистрибутив, если убрать подпись, то все нормально.

Ситуация дурацкая: подпись должна защищать, а не разрушать. При этом раз не ругается на основной подписанный файл, то есть с подписью проблем нет. Ну и отсутствие подписи никак не влияет на работоспособность программы. Будь там вирусы, то получается, что Dr.Web пропустил бы их.

Посоветовали пользователю скачать ZIP-архив с программой. Но на этот раз Dr.Web заблокировал весь сайт!

Опять написал в поддержку, ответили: "Указанный Вами сайт не рекомендуется к посещению специалистами компании «Доктор Веб», и ссылка на него не будет удалена из баз Dr.Web."

Я в недоумении. Наша программа на рынке с 2007 года, о ней писало много компьютерных изданий, у нас тысячи только тех пользователей, кто купил программу.

Malware могло попасть только случайно, но мы специально платим McAfee, чтобы они каждый день сканировали сайт на уязвимости и вирусы. Проблем нет:

https://www.mcafeesecure.com/verify?host=www.movienizer.com

Надеюсь, что с помощью независимого ресурса удастся разобраться в проблеме. Выход через знакомых на Dr.Web не помог

Отредактировал Сентябрь 26, 2014 Pavlenko

[K_Mikhail 807]

Проблема здесь в том, что под Downware подпадает целый класс внешне не вредоносных программ, но имеющие своей целью обогащение своих создателей через свои партнёрские программы (InstallCore, Somoto, проч.). Например, когда за браузер Mozilla Firefox, который абсолютно бесплатен, с какого-нибудь сайта типа bestfreesoftware.ololo просят некоторую мзду в виде платной SMS. При этом подобные программы-подменки имеют цифровую подпись (например, от Mail.Ru и.т.п.). Антивирусные производители такие вещи стараются детектировать и, соответственно, блокировать как Adware (рекламный модуль). При этом зачастую сопровождая детект префиксами not-a-virus и допуская возможность нажать кнопку "Пропустить" при подобного рода срабатывании. Кроме того, те производители, в составе продуктов которых есть веб-фильтры, добавляется детект как сайтов-распространителей подобного рода программ, так и сайтов их компаний-разработчиков. Поэтому, если монетизируетесь (схема распространения) через подобного рода партнёрские программы (см. выше - InstallCore, Somoto, проч.) и имеете подпись от, например, COMODO CA, - высоки шансы быть добавленным в базы антивирусных производителей. С весьма неохотным вычёркиванием оттуда.

[priv8v 960]

при установке Вашего софта есть "галочка" на установку партнерского софта? если есть, то причина детекта ясна.

а то, что дрвеб детектит по подписи, то это вопрос лишь удобства, а не некого умысла, захотят могут хоть по размеру и времени компиляции детектить...

[Pavlenko 0]

Нет, ставится только наша программа.

[Pavlenko 0]

Кроме того, те производители, в составе продуктов которых есть веб-фильтры, добавляется детект как сайтов-распространителей подобного рода программ, так и сайтов их компаний-разработчиков.

В нашем бесплатном софте на другом сайте используется Somoto и OpenCandy, но на этом сайте их никогда не было. Как и в этой коммерческой программе.

[K_Mikhail 807]

В нашем бесплатном софте на другом сайте используется Somoto и OpenCandy.

Тем самым оправдывается их детектирование. В качестве примера детекта OpenCandy: http://www.herdprotect.com/lyrics-finder.e...1c646c2c8a.aspx

Обратите внимание на то, что файл подписан:

Digital SignatureSigned by:Soft Integrator Ltd.Authority:COMODO CA LimitedValid from:9/18/2012 2:00:00 AMValid to:9/19/2017 1:59:59 AMSubject:CN=Soft Integrator Ltd., O=Soft Integrator Ltd., STREET=34-B Predslavinskaya, L=Kyiv, S=Kyiv, PostalCode=03150, C=UAIssuer:CN=COMODO Code Signing CA 2, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GBSerial number:00940377CC336C213475B843DA476735C9

но на этом сайте их никогда не было. Как и в этой коммерческой программе

Получается, что коммерческая версия вашего продукта страдает из-за схемы распространения вашего бесплатного софта на других сайтах с участием известных блокируемых партнёрских программ. Очевидно, при детектировании пошли по пути "лучше пере-, чем недо-". В любом случае, полагаю, что из-за детекта своих бесплатных продуктов вы не очень страдаете. Ну а сотрудниками "Доктор Веб" данный форум читается (но не пишется). Возможно, наш с Вами диалог как-то повляет на снятие детекта с вашего коммерческого ПО и вашего сайта в целом.

[Pavlenko 0]

Dr.Web я ссылку скинул, они отозвались на Twitter.

Но про OpenCandy пока что домыслы, они внятно не написали.

[priv8v 960]

напишите как будет что проясняться, это крайне необычно, что заодно выходит детект всего - и то, что с партнерским софтом и то, что без. Эцп везде одинаковая? возможно детект тупо на нее - хоть хелловорлд подпишите и будет детект, коли так.

можете после того как написали им на почту и вам невнятно ответили еще на их форуме тему создать, тогда придется им более внятно отвечать...

[Valery Ledovskoy 1082]

Или политкорректно закроют тему

[Pavlenko 0]

напишите как будет что проясняться, это крайне необычно, что заодно выходит детект всего - и то, что с партнерским софтом и то, что без. Эцп везде одинаковая? возможно детект тупо на нее - хоть хелловорлд подпишите и будет детект, коли так.

Не, я же выше писал, что сама программа тоже подписана (исполняемый файл), но если ее прогнать через VirusTotal, то все ОК.

[Сергей Ильин 1538]

Доктор Веб - компания в себе, расставляют детекты как хотят. Как блин соотносится схема распространения программы и ее вредоносность? Известно только им. Мне, например, не нравится как распространяется Яндекс.Браузер, тоже что ли его нежелательное ПО зачислить?

Уже два раза проверяли их детекты и писали отчеты:

http://www.anti-malware.ru/Threats_Analysis/Zona_analysis

http://www.anti-malware.ru/Threats_Analysi...diaget_analysis

Добиться от Доктор Веб снятия детекта авторы не могли. Проблема еще в том, что у них воруют детект и другие антивирусные компании. Поэтому проблема разрастается.

[priv8v 960]

Касательно этого файла:

1. Установка/удаление адекватное - браузер с параметрами запустит, но не более того.

2. В скрипте инсталляции подводных камней не заметил (типа детекта виртуалки в случае которого адварь не ставится).

3. Детектируются сами инсталляионные пакеты, причем русскоязычный инсталлер тоже детектируется. Детекты одинаковы - Adware.Downware.8466

4. Детектирует по подписи.

5. Отображается какая-либо реклама во время работы продукта сказать сложно, но какой-либо рекламный баннер отображается во многих ПО, которые не детектируются, но рекламы при работе ПО не заметил.

6. Сами файлы программы не детектируются - только инсталлер.

7. Насколько я могу судить, софт не распространяется через даунлоадеры-инсталлеры.

8. Единственно, на чем остановился взгляд это _http://www.plimus.com/jsp/redirect.jsp?contractId=2620828 - насколько это серьезно, судить не берусь.

[B . 90]

Movienizer_ru.exe детектируется как Adware.Downware.8466 по подписи, которая использовалась при раздаче софта с somoto и opencandy. Если разработчик сознательно использует подпись для приложений, распространяющихся через блокируемые партнерки или файлопомойки, весьма странно удивляться, что антивирус начинает реагировать на все файлы с такой подписью. Ну, а сайт может запросто попасть в "нерекомендуемые" автоматом просто по факту того, что с него загружается нечто, детектируемое антивирусом.

[priv8v 960]

Movienizer_ru.exe детектируется как Adware.Downware.8466 по подписи, которая использовалась при раздаче софта с somoto и opencandy

а ТС об этом умолчал

[Pavlenko 0]

а ТС об этом умолчал

Ну как бы об этом никто ясно не сказал. Догадки были. На этом сайте и в дистрибутиве OpenCandy никогда не было.

Что касается OpenCandy, то можно поспорить насколько они являются malware. Они очень щепитильны по поводу офферов и пару лет назад получили неплохие инвестиции от Google Ventures. Вряд ли большой брат будет во всякую фигню вкладываться.

Никакие офферы сами не ставятся, пользователь должен согласиться с ними. Не удивлюсь, если Dr.Web рекламируется через того же OpenCandy.

Somoto более агрессивные, но тоже вполне вменяемые.

8. Единственно, на чем остановился взгляд это _http://www.plimus.com/jsp/redirect.jsp?contractId=2620828 - насколько это серьезно, судить не берусь.

До этого кода не доходит - несостоявшаяся партнерка.

Скрипт инсталлера выложил на сайте: www.movienizer.com/movienizer7x_ru.iss

PS Прошу прощения за задержку с ответами - чего-то форум не открывался.

PPS Про OpenCandy и Somoto писал выше - http://www.anti-malware.ru/forum/index.php...st&p=180372