Всем привет!
Недавно в социальной сети «ВКонтакте» появилось предложение скачать плагин расширяющий функционал сети (добавляется скачивание медиа-контента и прочие «фишки»), а также сайта YouTube. При переходе по ссылке на компьютер скачивается файл setupWP.exe Как показало исследование, данное приложение не является абсолютно благонадёжным. Кроме того, оно обошло большинство антивирусных защит, благодаря некоторым особенностям реализации.
Предложение выглядит следующим образом:
Функционал плагина, рекламируемый на сайте, таков:
На момент появления, программа-установщик имела всего три детекта, а конкретно:
Следует отметить, что и сама программа-установщик и (забегая вперёд) все исполняемые файлы упакованы UPX, а также подписаны валидной цифровой подписью. Подпись имеет следующую информацию:
а выдана печально известной COMODO Code Signing CA 2.
setupWP.exe имеет размер 400392 байт (MD5 4028128db46e8f63a3fdd4df8d283a4e). После запуска setupWP.exe создаёт в %appdata% два файла: WebPlugins.exe размером 239488 байт (MD5 ef5fdd65d44e99b0fd8d0efe62893ced) и WebPluginsLauncher.exe размером 67456 байт (MD5 16ca4708932d4d7c5a7ea7cebd9d6047). Файлы написаны на Microsoft Visual C++ 8.
Также, setupWP.exe добавляет аддон в браузер по умолчанию, для FireFox это был {91cbe447-0cab-4798-b096-45e5e33ac229}.xpi.
WebPluginsLauncher.exe, похоже, является веб-инсталлятором: связывается с офсайтом и скачивает актуальную версию:
webplugins.exe просто создаёт расширения браузера (аддоне).
Основной функционал находится в самом аддоне. Написан он на JavaScript, код можете увидеть тут. Да, безусловно, заявленные вкусняшки аддон выполняет. И ложку дёгтя, описанную в «Лицензионном Соглашении», а именно:
в виде рекламных роликов — тоже добавляет. Но делает программа и то, что не сказано ни в «Соглашении», ни на сайте — а именно: рассылает спам с эккаунта. Якобы с этим соглашается пользователь при работе. Вполне возможно, тогда классификация данной программы — Adware, условно-вредоносная.
При этом авторы довольно откровенно хвалятся этим. Возможно, это были и не авторы. Но текст Google помнит.
К сожалению, в связи с валидной цифровой подписью антивирусные вендоры неохотно признают вредоносность файла, а потому рекомендуем всем пострадавшим вручную удалить все файлы, описанные в этом обзоре, и что самое важное — удалить аддон.
На момент написания статьи группу ВКонтакте(http://vkontakte.ru/club21410428) уже заблокировали, но офсайт продолжает работать. Домен был зарегистрирован через Reg.Ru частным лицом.
Обнаружение и анализ WebPlugins стали возможны благодаря Ассоциации ВирусНет и конкретно ресурсу SafeZone.cc. Ознакомиться с дополнительной информацией Вы можете тут.
P.S. В комментариях объявился автор WebPlugins и обещал всё исправить. Насколько это будет решено в будущих версиях — на совести автора. Читаем комментарии.
Недавно в социальной сети «ВКонтакте» появилось предложение скачать плагин расширяющий функционал сети (добавляется скачивание медиа-контента и прочие «фишки»), а также сайта YouTube. При переходе по ссылке на компьютер скачивается файл setupWP.exe Как показало исследование, данное приложение не является абсолютно благонадёжным. Кроме того, оно обошло большинство антивирусных защит, благодаря некоторым особенностям реализации.
Предложение выглядит следующим образом:
Функционал плагина, рекламируемый на сайте, таков:
На момент появления, программа-установщик имела всего три детекта, а конкретно:
Следует отметить, что и сама программа-установщик и (забегая вперёд) все исполняемые файлы упакованы UPX, а также подписаны валидной цифровой подписью. Подпись имеет следующую информацию:
CN = Chernyshov Victor
O = Chernyshov Victor
STREET = Stancionnaya str, 3-2, app. 31
L = Mytischi,
S = Moscow Region
PostalCode = 000000
C = RUа выдана печально известной COMODO Code Signing CA 2.
setupWP.exe имеет размер 400392 байт (MD5 4028128db46e8f63a3fdd4df8d283a4e). После запуска setupWP.exe создаёт в %appdata% два файла: WebPlugins.exe размером 239488 байт (MD5 ef5fdd65d44e99b0fd8d0efe62893ced) и WebPluginsLauncher.exe размером 67456 байт (MD5 16ca4708932d4d7c5a7ea7cebd9d6047). Файлы написаны на Microsoft Visual C++ 8.
Также, setupWP.exe добавляет аддон в браузер по умолчанию, для FireFox это был {91cbe447-0cab-4798-b096-45e5e33ac229}.xpi.
WebPluginsLauncher.exe, похоже, является веб-инсталлятором: связывается с офсайтом и скачивает актуальную версию:
Internet connection: Connects to "217.172.177.31" on port 80.
Internet connection: Connects to "download.web-plugins.ru" on port 80.
Internet connection: Connects to "ref.web-plugins.ru" on port 80.webplugins.exe просто создаёт расширения браузера (аддоне).
Основной функционал находится в самом аддоне. Написан он на JavaScript, код можете увидеть тут. Да, безусловно, заявленные вкусняшки аддон выполняет. И ложку дёгтя, описанную в «Лицензионном Соглашении», а именно:
8. Реклама. «WebPlugins» может изменять рекламные блоки сайта vkontakte.ru при его
использовании. Способ, режим и продолжительность изменения рекламы на данном сайте
в Программном обеспечении может меняться. При использовании «WebPlugins» Вы соглашаетесь с тем, что компания Web Plugins не несет ответственность ни за какие потери или ущерб, связанные
с деятельностью сторонних рекламодателей.
в виде рекламных роликов — тоже добавляет. Но делает программа и то, что не сказано ни в «Соглашении», ни на сайте — а именно: рассылает спам с эккаунта. Якобы с этим соглашается пользователь при работе. Вполне возможно, тогда классификация данной программы — Adware, условно-вредоносная.
При этом авторы довольно откровенно хвалятся этим. Возможно, это были и не авторы. Но текст Google помнит.
К сожалению, в связи с валидной цифровой подписью антивирусные вендоры неохотно признают вредоносность файла, а потому рекомендуем всем пострадавшим вручную удалить все файлы, описанные в этом обзоре, и что самое важное — удалить аддон.
На момент написания статьи группу ВКонтакте(http://vkontakte.ru/club21410428) уже заблокировали, но офсайт продолжает работать. Домен был зарегистрирован через Reg.Ru частным лицом.
Обнаружение и анализ WebPlugins стали возможны благодаря Ассоциации ВирусНет и конкретно ресурсу SafeZone.cc. Ознакомиться с дополнительной информацией Вы можете тут.
P.S. В комментариях объявился автор WebPlugins и обещал всё исправить. Насколько это будет решено в будущих версиях — на совести автора. Читаем комментарии.
