Компания
500,65
рейтинг
19 июня 2014 в 14:50

Разработка → Яндекс и безопасность. Как мы изучали и обезвреживали обёртки (агрессивные adware)

В последнее время в нашу службу поддержки стали больше жаловаться на сомнительную рекламу и всплывающие окна на главной странице Яндекса. Люди сообщали, что нежелательная реклама преследует их и на других популярных ресурсах и в социальных сетях (Mail.ru, Вконтакте и т.п.). Команда безопасного поиска Яндекса решила разобраться в чём же дело.



Мы проанализировали состояние систем обратившихся пользователей и увидели, что у них всех на компьютере было установлено рекламное программное обеспечение класса Adware, которое и было источником появления баннеров с сомнительной рекламой, порнографией и другим нежелательным контентом. Выяснилось, что существует целый ряд программ с разными названиями, но действуют они похоже, а результат работы практически идентичен. Аналитики решили не останавливаться на достигнутом, копнуть глубже и проанализировать алгоритмы работы этих программ.

Из обнаруженных у пострадавших пользователей программ, самой распространённой adware оказалась BetterSurf. Вот хэши некоторых её модулей:

0010aef925ea83579b70905d0e0c84b09df2a55f
00190be9b6f2650416fe0154655f5aefd0a97eb0

Это ПО было установлено в системе с этим именем, а также иногда скрывалось под видом MediaViewer. Сама программа представлена в виде набора плагинов для всех популярных браузеров: Google Chrome, Mozilla Firefox и Internet Explorer. В основе этих модулей лежит практически идентичный js-код, выполняющий подгрузку веб-страниц в браузер.

Расширения при каждом посещении пользователем того или иного URL отправляют GET-запрос вида:



Ответом на данный запрос выступает веб-страница, которая выглядит следующим образом:



В ходе ее обработки браузер подгружает целый набор js-скриптов, часть из которых запакованы.


Лог веб-прокси, в ходе работы Adware-плагина в браузере

Детальный анализ показал, что эти скрипты определяют набор программного обеспечения пользователя, регион, в некоторых случаях даже устанавливают flash-cookie, а также пытаются определить на каком сайте в данный момент находится пользователь.



В результате работы этих скриптов (если пользователь перешел на ссылку с сайта, который находится в массиве интересующих) пользователю, в зависимости от определенных параметров, подгружается js-скрипт, инжектирующий в DOM веб-ресурса дополнительный баннер.

Ниже пример списка сайтов, при переходе на которые добавляться рекламные баннеры:

mail.inbox.lv, mail.com mail.mailig.ig.com.br ",«mail.ru »,«mail.terra.com.br »,"
mail.tiscali.it ",«mail.uol.com.br »,«mail.virgilio.it »," mail.yandex.ru "," mail.voila.fr ",«mailbeta.libero.it »,«mailonline.com »,«mailonsunday.co.uk »,«mailtribune.com »,«mainlinemedianews.com »,«majorleaguegaming.com »,«makeandtakes.com »,«makemebabies.com »,«maketecheasier.com »,"
makeupgeek.com ",«malavida.com »,«malvin.tv »,«mamacheaps.com »,"
mamapop.com ",«mamaslatinas.com »,«mamba.ru »,"
manager.com.br … (список включает более 4000 разных хостов)


В ходе их анализа также обнаружилась довольно интересная деталь, код некоторых скриптов начинался с комментария:

/** See www.dealply.com for details. *//* JavaScriptJsTagUrl = DealPlyScriptTagUrlMagic; */

После чего шла упаковка. Если распаковать данные скрипты, то можно обнаружить механизмы определения ПО пользователя и инжекта дополнительных скриптов. Быстрый анализ DealPly показал, что в ней действительно встречаются похожие скрипты, но они подгружают контент с других узлов и не загружают сомнительную рекламу.

В ходе работы BetterSurf не только встраивает нежелательную рекламу, но и на некоторых ресурсах подменяет оригинальную. Так, например, выглядит главная страница Яндекса с внедрённой в её DOM дополнительной рекламой.



Баннеры постоянно ротируются и иногда переходы по ним могут привести к установке вредоносного ПО.



Возможно злоумышленники интегрировали часть DealPly библиотек в свои агрессивные Adware-программы для удобства, а может быть и для маскировки — точного ответа на этот вопрос у нас нет.

Второй по распространнености среди пострадавших от Adware пользователей стала программа AddLyrics. Некоторые хэши ее модулей:

aa8b5da964415c138b917953459a735d7d188b0d
d164a3561886a4a74782bd5887766c2ca4261141

Это Adware-ПО работает точно также, как и BetterSurf (подгружает скрипты с rvzr-a.akamaihd.net), но обладает некоторыми интересными особенностями. В частности, расширение для Chrome модифицирует HTTP-заголовки для обхода ограничений Content Security Policy. Это позволяет модифицировать DOM веб-страниц, которые применяют этот механизм для защиты своих веб-страниц от изменений. Пример кода, который отключает механизм Content Security Policy, представлен на рисунке ниже.



Анализируя компьютеры пользователей, мы встречали и другие плагины для браузеров, которые подгружали и ижектировали похожие скрипты. Их принцип работы был очень похож — в веб-страницу в браузере загружались различные js-скрипты через инжект в DOM веб-страницы тега или (отличались источники скриптов, не все использовали akamaihd.net), но результат их работы был одинаков. Примером такого плагина может быть WeatherBAR.

Интересно, что нам не удалось найти вредоносных плагинов с подобной функциональностью для Я.Браузера, однако для отображения рекламных веб-страниц в нем использовался механизм запуска .url-файлов через автозагрузку браузера. Эта технология затрагивает и другие браузеры, некоторые детали можно почитать тут.

Разобравшись в adware-технологиях мы захотели понять, как попадает это рекламное ПО на компьютеры наших пользователей. Поискав похожие жалобы в сети, мы выяснили, что подобные агрессивные adware-программы устанавливаются через установщики-обертки, а также через различные порталы с инсталляторами ПО, которые по-видимому недостаточно оперативно модерируются.



Кроме того, часть подобных программ распространяется с фишинговых (и не только) сайтов под видом других полезных программ.

Подводя итог расследования, можно сделать вывод, что реклама, которая отображалась у пострадавших от adware пользователей, не проходит модерации в крупных баннерных сетях, может содержать шокирующие изображения и заведомо ложную информацию, вести на вредоносные и мошеннические сайты.

Показ такой рекламы на страницах крупных, популярных интернет-ресурсов подрывает их имидж, раздражает пользователей, вызывая их отток, приводит к шквалу обращений в техническую поддержку. Подмена оригинальной рекламы ухудшает монетизацию, снижает прибыль и возможность дальнейшего развития порталов. В некоторых случаях, вместо рекламы в страницу вставляются блоки drive-by-download атак, заражающие компьютеры вирусами.

Кроме того, легальные программы, под видом которых на некоторых ресурсах отдается Adware, становятся жертвами отрицательных отзывов и негативного общественного мнения в сети, их рейтинги падают и монетизация также ухудшается.

Столкнувшись с таким комплексом проблем и многочисленными жалобами, мы решили предупреждать наших пользователей о наличие на веб-сайте потенциально нежелательных программ. Теперь Яндекс определяет сайты, предлагающие скачать сомнительное ПО отдельно или в составе программ-обёрток. В результатах поисковой выдачи напротив подобных веб страниц отображается специальное предупреждение.

Берегите свои сайты, серверы и своих пользователей, не распространяйте adware и не размещайте в нём рекламу своей компании, чтобы не скомпрометировать её.
Автор: @alextheraven
Яндекс
рейтинг 500,65

Комментарии (35)

  • 0
    Сталкивался с DealPly, сначала даже на провайдера грешили, думали подобно мегафону вмешивается в траффик пользователя и рекламу встраивает. Оказалось DealPly, причем в систему влез серьезно, простое удаление не помогало. Ни касперский ни Dr.Web cure It тоже не помогли, хотя по идее можно и к мошенническим и вирусным программам приписать.
  • +13
    Без слез не взглянешь на компьютеры знакомых/родственников, которые напичканы этими «полезными» штуками.
    Не успеваешь почистить, как через неделю опять жалуются…
    Боль.
    • 0
      Я в свое время настроил белые списки некоторым знакомым/родственникам и боли нет :)
      Но правда у них компьютеры это смотрелка сайтов, скайпообщалка и печатная машинка.
      • +1
        Ну «Белые списки» это уж совсем жестоко, а вот использовать какой-нибудь Яндекс.DNS наверное будет самое то.
    • +12
      Поставил бывшей убунту и вздохнул спокойно, за год не убила еще.
      • +2
        систему или вас?
        • +3
          Либо его, либо это пишет система.
  • –7
    Мой выбор расширения для Хромиума/Хрома:
    HTTP Switchboard
    И все прекрасно, без всей этой дряни и рекламы :)
    Прост в подстройке под свои нужды.
    Советую попробовать и подумать над заменой AdBlock'а этим расширением.
  • 0
    Только сегодня боролся с подобной заразой. Все браузеры в системе при старте открывают левую страницу со всяким шлаком и вообще не известно, что еще делают в бэкграунде. Что удивительно, ни Касперский, ни Доктор Веб не смогли вылечить уже зараженную систему (ничего не находят)… это при том, что машина заражена уже пару месяцев, конкретный сэмпл уже давно должен был попасть в их вирлабы. Времени на ручное копание не было, пришлось пока забить.
    Вообще, хотелось бы чтоб Я.браузер проактивно детектил такие подозрительные редиеркты и сообщал пользователю, что что-то странное происходит и надо бы провериться.
    • 0
      Был случай когда как таковой малвари уже не было в системе, но после нее остались интересные последствия. Во все ярлыки всех браузеров была добавлена опция командной строки для открытия левой стартовой страницы. Причем при ее загрузке делался редирект на разные фишинговые страницы, похожие по виду на популярные поисковики, почтовики и соцсети. Видимо так палили пароли наивных пользователей. Решилось все ручной правкой ярлыков. Написал потому что возможно это ваш случай.
      • 0
        Спасибо, но это не мой случай. Пробовал запускать непосредственно экзешники.
  • +3
    Неделю назад видел гораздо круче из этой же оперы. Больной роутер — выглядело как массовое одновременное заражение на десятке компьютеров, при этом ни один антивирус ничего не видит, а банеры лезут.
  • +6
    Присылайте, пожалуйста, примеры таких обёрток и/или ссылки на сайты, которые их распространяют, на virus-samples@yandex-team.ru — мы будем использовать их, чтобы учиться лучше находить страницы с таким ПО и предупреждать о нём.
  • +5
    А что предполагается делать с опубликованными хешами-то?
  • 0
    Как бороться с этой заразой? В Хроме нету никаких расширений, чтобы отключить.
    Кажется хабр тоже в этом списке
    image
    • 0
      быть может прокся трафф правит?
  • +2
    набрал в гугле «BetterSurf скачать» — везде только пишут «как удалить». Ни одной ссылки скачать. Как будто такой программы и нет вовсе…
    Набрал AddLyrics — таже история.
    Что я делаю не так?
    • +3
      Что я делаю не так?

      Например, намеренно пытаетесь скачать малварь?
      • +2
        может я хочу его изучить…
    • 0
      «conficker скачать» тоже выдает нерелевантные результаты. Странно, не правда ли?
      • +1
        ага а ещё зоо порно не ищет… и что мне только с ним делать…
  • 0
    Ура! Кажется победил. Скрывалась adware под именем Net SafetyExtension
    Скрин успешного удаления
    image
    • +4
      Остаётся вопрос: а зачем вы её ставили…
    • +2
      Винрар с кряком?
      • +1
        Проверил. Оно.
  • +1
    В качестве временной меры можно добавить в ваших скриптах:

    window.__aimon = 1;

    Если посмотреть на код, то несложно увидеть что такая строчка полностью сломает работу обертки.

    Наверняка аналогичные контр-меры можно придумать и для других оберток, которые в открытую вставляют скрипты в код страницы. (А не как это делают в Greasemonkey и аналогах.)
  • 0
    Сталкивался с MediaViewer на компьютере друга. Win7.
    Попробую восстановить рецепт удаления по памяти:

    Удаление через «Программы и компоненты» не помогло.

    Отключение соответствующего плагина в браузере помогло до первой перезагрузки.

    Вместе с MediaViewer возрождался ещё один плагин, название которого было как-то связано с бананами =) Критерии поиска расширись.

    Выяснилось, что в автозагрузку эта гадость не прописывалась, а стартовала через «Планировщик заданий». Удаление соответствующих заданий помогло.

    Для верности был осуществлён поиск на диске, где фигурировала эта прога и банановый друг.
    Больше MediaViewer друга не беспокоил.
  • 0
    я бы еще вот на эту рекламу пожаловался

    image
    во всю высоту страницы
  • +4
    Одно не могу понять: что заставляет программистов (умных, образованных людей) тратить свой талант на создание подобного вредоносного ПО? Неужели они не могут найти честного способа заработка?
    • 0
      Деньги?

      Думаю программисты с опытом вполне могут, а это пишут товарищи уровня «я вчера прочитал книжку про PHP».
  • +2
    > реклама, которая отображалась у пострадавших от adware пользователей, не проходит модерации в
    > крупных баннерных сетях,

    Вы не правы в терминах: это не «реклама», это левое содержимое, подставленное в код страницы. Может быть рекламным баннером одной из сетей (даже и Директом, просто Яндекс, наверняка, денег за такую «рекламу» не заплатит, если заметит), а может — и что-то попроще, что закажут им открутить. С тем же успехом там могло бы быть что-то небаннерного размера и формата, а, скажем, div, закрывающий страницу сайта на 90%, и требующий нажатия на ссылку для закрытия div-а. Естественно, модерацию эта не-реклама не проходит, с чего бы ей?

    Справедливости ради, скажу, что порой в «крупных» (как мерять?) российских баннерных сетях тако-о-ое содержимое встретишь, будто и там модерации особо нет.

    > может содержать шокирующие изображения и заведомо ложную
    > информацию, вести на вредоносные и мошеннические сайты.

    «Шокирующие» — это слово утратило свой смысл после начала использования его в рекламе, в т.ч. и нечистоплотными креативщиками (читаешь на баннере «Пугачева сделала шокирующее заявление», а на странице «Алла сказала, что любит кефир»), так что в этом тексте оно выглядит не иначе как заготовка заявления в прокуратуру ). Повторюсь, в сайт можно встроить что угодно, но это не особая циничность создателей adware (им-то пофиг что вставить, главное, чтобы прибыль была), а свойство интернета, веба и html/css. Положа руку на сердце: если адвардщикам завтра Яндекс заплатит, чтобы на каждый сайт была автоматом добавлена «Метрика» (что даст Яндексу некислое преимущество в слежке за «целевой аудиторией»), уверен, что адвардщики ни разу не скажу «нет, мы злыдни, мы только нелегальный, шокирующий и вирусный контент будем вставлять» )).

    > Показ такой рекламы на страницах крупных, популярных интернет-ресурсов подрывает их имидж,
    > раздражает пользователей, вызывая их отток, приводит к шквалу обращений в техническую поддержку.
    > Подмена оригинальной рекламы ухудшает монетизацию, снижает прибыль и возможность
    > дальнейшего развития порталов. В некоторых случаях, вместо рекламы в страницу вставляются блоки
    > drive-by-download атак, заражающие компьютеры вирусами.

    Скажите прямо: такой баннер на странице сайта первым делом подрывает доходы сайта и его имидж. На странице Яндекса окажется — Яндекс недополучит, на странице mail.lv — mail.lv недополучит. «Ничего личного» в смысле выбора цели, это понятно. Но и в статье было бы невредно писать, что «мы оказались обеспокоены снижением прибылей», а то «раздражает пользователей»…

    > монетизация также ухудшается.

    Предыдущий мой абзац одной строчкой :)
  • +1
    Мой способ лечения подобного:
    Через Hijackthis смотрю какое ПО запускается при старте, с помощью него же удаляются ссылки на запуск, что-то удается сразу прибить, а что-то довольно хитрое и восстанавливается само автоматически. Чтобы с такими штуками побороться, нужно записать их пути просто txt, а затем загрузиться с любого LiveCD и удалить.
    Я, кстати, использую LiveCD от Касперского — записываю на флешку, гружусь, делаю скан, что-то удаляется само, что-то удаляю я сам. DrWeb Cureit иногда тоже выручает. Уже после удаления через LiveCD и загрузки ОС, снова через Hijackthis подчищаю пути для автозапуска.
    Нынче всякое AdWare грузится не только из привычных мест, а еще и себя в планировщик записывает, так что там тоже нужно почистить. Чаще всего AdWare устанавливается самим пользователем, поэтому может записываться как и в AppData, так и в ProgramFiles и в ProgramData. То есть не обязательно в windows\system32, оно прикидывается шлангом и мимикрирует под приличное ПО.
    Само-собой не забываем смотреть в файл hosts, а так же проверять настройки соединения на предмет левого proxy.
  • 0
    Недавно с машины пользователя вычистил что-то подобное. Только там похоже была немного другая схема — расширение к браузерам мониторило переходы по ссылкам и к каждому переходу создавало второе окно с переходом на рекламируемый сайт + на любом веб-сайте (даже наши внутренние ресурсы) был показан баннер, правда закрывающийся. Касперский вычистил екзешник, а вот расширение надо было вручную удалять.
  • +2
    > Мы проанализировали состояние систем обратившихся пользователей и увидели, что у них всех на компьютере было установлено рекламное программное обеспечение класса Adware

    А вот в этом месте, пожалуйста, поподробнее
    • 0
      Google, Yandex, Dropbox, Skype, Adobe и этот список можно продолжать ставят свои апдейтеры (службы) в систему. Так что резидентный модуль есть у каждого пользователя и наверняка список установленного ПО получить не проблема, а при желании, наверняка можно что нибудь и более интересное. Впрочем всегда так, тут просто вопрос в доверии к компаниям, особенно к антивирусным ибо те вообще свои корневые сертификаты ставят для проверки веб трафика и, разумеется, лезут очень глубоко.

      Ну а ещё более простой способ найти каку: загруженные dll любое приложение и так видит и найти там «malware.dll» не проблема. А уж про список установленных расширений я вообще молчу ибо и так понятно что браузер о них всё знает.

      P.S. вообще «мопед не мой», но раз с 2014 года не ответили, то высказываю наиболее вероятные решения, ну а так способов получить инфу с машины ещё больше. А уж если просить пользователей специально запускать что нибудь диагностическое, например, AVZ, то вообще своих установленных приложений не надо и можно разобраться что с машиной творится.

      P.P.S. с долей шутки: от вашего вопроса первая серия «Южного парка» вспомнилась, «Картман и анальный зонд» :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка