Перейти к содержанию
Pavlenko

Блокирование сайта www.movienizer.com антивирусом DrWeb

Recommended Posts

Pavlenko

Добрый день, коллеги!

Уже более 15 лет мы разрабатываем софт для домашних пользователей, периодически бывали проблемы с антивирусами, которые мы успешно решали. Но сейчас столкнулись с непробиемой реакцией Dr.Web.

Недавно один из наших пользователей пожаловался на то, что не получается скачать дистрибутив с нашего сайта. Dr.Web находит в нем Adware.Downware.8466. Если прогнать файл через VirusTotal, то только 1 срабатывание:

https://www.virustotal.com/en/file/8740171a...sis/1411046939/

Я сразу заполнил форму на сайте Dr.Web о ложном срабатывании, но получил краткий ответ без объяснения причин: "Ваш запрос был проанализирован. Это не ложное срабатывание."

Стал разбираться. Выяснилось, что антивирус ругается только на файл дистрибутива, который собран с помощью InnoSetup. На основной исполняемый файл программы на жалуется.

Более того, ругается только на подписанный цифровой подписью дистрибутив, если убрать подпись, то все нормально.

Ситуация дурацкая: подпись должна защищать, а не разрушать. При этом раз не ругается на основной подписанный файл, то есть с подписью проблем нет. Ну и отсутствие подписи никак не влияет на работоспособность программы. Будь там вирусы, то получается, что Dr.Web пропустил бы их.

Посоветовали пользователю скачать ZIP-архив с программой. Но на этот раз Dr.Web заблокировал весь сайт!

Опять написал в поддержку, ответили: "Указанный Вами сайт не рекомендуется к посещению специалистами компании «Доктор Веб», и ссылка на него не будет удалена из баз Dr.Web."

Я в недоумении. Наша программа на рынке с 2007 года, о ней писало много компьютерных изданий, у нас тысячи только тех пользователей, кто купил программу.

Malware могло попасть только случайно, но мы специально платим McAfee, чтобы они каждый день сканировали сайт на уязвимости и вирусы. Проблем нет:

https://www.mcafeesecure.com/verify?host=www.movienizer.com

Надеюсь, что с помощью независимого ресурса удастся разобраться в проблеме. Выход через знакомых на Dr.Web не помог :(

Отредактировал Pavlenko

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Проблема здесь в том, что под Downware подпадает целый класс внешне не вредоносных программ, но имеющие своей целью обогащение своих создателей через свои партнёрские программы (InstallCore, Somoto, проч.). Например, когда за браузер Mozilla Firefox, который абсолютно бесплатен, с какого-нибудь сайта типа bestfreesoftware.ololo просят некоторую мзду в виде платной SMS. При этом подобные программы-подменки имеют цифровую подпись (например, от Mail.Ru и.т.п.). Антивирусные производители такие вещи стараются детектировать и, соответственно, блокировать как Adware (рекламный модуль). При этом зачастую сопровождая детект префиксами not-a-virus и допуская возможность нажать кнопку "Пропустить" при подобного рода срабатывании. Кроме того, те производители, в составе продуктов которых есть веб-фильтры, добавляется детект как сайтов-распространителей подобного рода программ, так и сайтов их компаний-разработчиков. Поэтому, если монетизируетесь (схема распространения) через подобного рода партнёрские программы (см. выше - InstallCore, Somoto, проч.) и имеете подпись от, например, COMODO CA, - высоки шансы быть добавленным в базы антивирусных производителей. С весьма неохотным вычёркиванием оттуда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

при установке Вашего софта есть "галочка" на установку партнерского софта? если есть, то причина детекта ясна.

а то, что дрвеб детектит по подписи, то это вопрос лишь удобства, а не некого умысла, захотят могут хоть по размеру и времени компиляции детектить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavlenko
Кроме того, те производители, в составе продуктов которых есть веб-фильтры, добавляется детект как сайтов-распространителей подобного рода программ, так и сайтов их компаний-разработчиков.

В нашем бесплатном софте на другом сайте используется Somoto и OpenCandy, но на этом сайте их никогда не было. Как и в этой коммерческой программе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
В нашем бесплатном софте на другом сайте используется Somoto и OpenCandy.

Тем самым оправдывается их детектирование. В качестве примера детекта OpenCandy: http://www.herdprotect.com/lyrics-finder.e...1c646c2c8a.aspx

Обратите внимание на то, что файл подписан:

Digital SignatureSigned by:Soft Integrator Ltd.Authority:COMODO CA LimitedValid from:9/18/2012 2:00:00 AMValid to:9/19/2017 1:59:59 AMSubject:CN=Soft Integrator Ltd., O=Soft Integrator Ltd., STREET=34-B Predslavinskaya, L=Kyiv, S=Kyiv, PostalCode=03150, C=UAIssuer:CN=COMODO Code Signing CA 2, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GBSerial number:00940377CC336C213475B843DA476735C9
но на этом сайте их никогда не было. Как и в этой коммерческой программе

Получается, что коммерческая версия вашего продукта страдает из-за схемы распространения вашего бесплатного софта на других сайтах с участием известных блокируемых партнёрских программ. Очевидно, при детектировании пошли по пути "лучше пере-, чем недо-". В любом случае, полагаю, что из-за детекта своих бесплатных продуктов вы не очень страдаете. Ну а сотрудниками "Доктор Веб" данный форум читается (но не пишется). Возможно, наш с Вами диалог как-то повляет на снятие детекта с вашего коммерческого ПО и вашего сайта в целом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavlenko

Dr.Web я ссылку скинул, они отозвались на Twitter.

Но про OpenCandy пока что домыслы, они внятно не написали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

напишите как будет что проясняться, это крайне необычно, что заодно выходит детект всего - и то, что с партнерским софтом и то, что без. Эцп везде одинаковая? возможно детект тупо на нее - хоть хелловорлд подпишите и будет детект, коли так.

можете после того как написали им на почту и вам невнятно ответили еще на их форуме тему создать, тогда придется им более внятно отвечать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Или политкорректно закроют тему :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavlenko
напишите как будет что проясняться, это крайне необычно, что заодно выходит детект всего - и то, что с партнерским софтом и то, что без. Эцп везде одинаковая? возможно детект тупо на нее - хоть хелловорлд подпишите и будет детект, коли так.

Не, я же выше писал, что сама программа тоже подписана (исполняемый файл), но если ее прогнать через VirusTotal, то все ОК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Доктор Веб - компания в себе, расставляют детекты как хотят. Как блин соотносится схема распространения программы и ее вредоносность? Известно только им. Мне, например, не нравится как распространяется Яндекс.Браузер, тоже что ли его нежелательное ПО зачислить?

Уже два раза проверяли их детекты и писали отчеты:

http://www.anti-malware.ru/Threats_Analysis/Zona_analysis

http://www.anti-malware.ru/Threats_Analysi...diaget_analysis

Добиться от Доктор Веб снятия детекта авторы не могли. Проблема еще в том, что у них воруют детект и другие антивирусные компании. Поэтому проблема разрастается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Касательно этого файла:

1. Установка/удаление адекватное - браузер с параметрами запустит, но не более того.

2. В скрипте инсталляции подводных камней не заметил (типа детекта виртуалки в случае которого адварь не ставится).

3. Детектируются сами инсталляионные пакеты, причем русскоязычный инсталлер тоже детектируется. Детекты одинаковы - Adware.Downware.8466

4. Детектирует по подписи.

5. Отображается какая-либо реклама во время работы продукта сказать сложно, но какой-либо рекламный баннер отображается во многих ПО, которые не детектируются, но рекламы при работе ПО не заметил.

6. Сами файлы программы не детектируются - только инсталлер.

7. Насколько я могу судить, софт не распространяется через даунлоадеры-инсталлеры.

8. Единственно, на чем остановился взгляд это _http://www.plimus.com/jsp/redirect.jsp?contractId=2620828 - насколько это серьезно, судить не берусь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .

Movienizer_ru.exe детектируется как Adware.Downware.8466 по подписи, которая использовалась при раздаче софта с somoto и opencandy. Если разработчик сознательно использует подпись для приложений, распространяющихся через блокируемые партнерки или файлопомойки, весьма странно удивляться, что антивирус начинает реагировать на все файлы с такой подписью. Ну, а сайт может запросто попасть в "нерекомендуемые" автоматом просто по факту того, что с него загружается нечто, детектируемое антивирусом.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Movienizer_ru.exe детектируется как Adware.Downware.8466 по подписи, которая использовалась при раздаче софта с somoto и opencandy

а ТС об этом умолчал :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavlenko
а ТС об этом умолчал :D

Ну как бы об этом никто ясно не сказал. Догадки были. На этом сайте и в дистрибутиве OpenCandy никогда не было.

Что касается OpenCandy, то можно поспорить насколько они являются malware. Они очень щепитильны по поводу офферов и пару лет назад получили неплохие инвестиции от Google Ventures. Вряд ли большой брат будет во всякую фигню вкладываться.

Никакие офферы сами не ставятся, пользователь должен согласиться с ними. Не удивлюсь, если Dr.Web рекламируется через того же OpenCandy.

Somoto более агрессивные, но тоже вполне вменяемые.

8. Единственно, на чем остановился взгляд это _http://www.plimus.com/jsp/redirect.jsp?contractId=2620828 - насколько это серьезно, судить не берусь.

До этого кода не доходит - несостоявшаяся партнерка.

Скрипт инсталлера выложил на сайте: www.movienizer.com/movienizer7x_ru.iss

PS Прошу прощения за задержку с ответами - чего-то форум не открывался.

PPS Про OpenCandy и Somoto писал выше - http://www.anti-malware.ru/forum/index.php...st&p=180372

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×