Новый троян с валидной цифровой подписью LLC Mail.Ru маскируется под обновления популярных программ

Тихим субботним вечером моя мама мирно серфила Youtube на предмет ухода за цикламенами и внезапно слева от видео образовался баннер (к сожалению, скриншота не будет, т.к. баннер воспроизвести не удалось), призывающий обновить Skype. После клика на него произошел редирект на _http://easyupdate.ru/skype/, выглядящий примерно так…



Моя мама — не очень опытный пользователь и фразы в духе «Ваша версия Skype устарела, его поддержка закончится 04.03.2013, после чего Вы больше не сможете общаться по Skype» её очень пугают, поэтому она нажала «Отмена» и позвонила мне. Поначалу я решил, что речь пойдёт о банальном обновлении Skype и со вздохом подключился по Teamviewer, собираясь просто ткнуть пару кнопок и отключиться. К своему стыду, при всём своём многолетнем опыте я даже умудрился запустить скачавшийся с easyupdate.ru «апдейт», однако, увидев после запуска, что файл подписан почему-то издателем «LLC Mail.Ru», а не Skype, в последний момент запретил выполнение и понял, что вечер будет интересным и длинным. Похвалив маму за бдительность, я приступил к изучению свежей схемы наполнения ботнета.

Загадка цифровой подписи

Итак, первым делом посмотрим свойства файла:


Странно, всего 74 Кб, как-то маловато даже для web-инсталлера. Смотрим цифровую подпись, что это за «LLC Mail.Ru» такое, может кто-то опять протащил через Thawte схожее название юрлица?



Странно, сертификат цифровой подписи очень похож на настоящий от Mail.Ru:



У них одинаковый срок действия, с 09.12.2011 по 07.02.2014, однако в цифровой подписи Агента Mail.ru есть подписи других сторон: Symantec Time Stamping Services Signer. Все exe файлы подписываются на лету перед отдачей на загрузку браузеру, об этом говорит динамически изменяющееся время подписания файла.

Итого, имеем три варианта:
1. Это настоящая цифровая подпись Mail.ru, приватный ключ от которой каким-либо образом выкрали и теперь используют для подписания малвари
2. Это настоящая цифровая подпись Mail.ru, которую сама Mail.ru почему-либо использует для подписания малвари
3. Это поддельная цифровая подпись Mail.ru, которую каким-либо образом сумели скомпрометировать (что маловероятно, ибо RSA 2048 бит)

Загуглив easyupdate.ru, и не найдя в выдаче ничего путного, я посмотрел все ссылки по запросу site:easyupdate.ru и обнаружил, что, помимо скайпа, лендинги имеются для всех популярных браузеров:





Их очень роднит милое всплывающее javascript подтверждение, которое начинает скачивать exe файл, даже не удосужившись проверить, какую кнопку нажал пользователь, OK или Отмена.

Virustotal

Таким образом, мы получили 5 образцов (ссылки ведут на результаты сканирования файлов Virustotal):
chromesetup.exe, firefox-setup.exe, ie-setup-full.exe, opera_int_setup.exe и skypesetup.exe

opera_int_setup.exe и ie-setup-full.exe ещё не были просканированы до меня, то есть распространение заразы было начато совсем недавно, однако на остальные файлы среагировали 8-9 антивирусов из 46. Касперский почему-то единственный, кто классифицировал exe, как «не вирус»: «not-a-virus:HEUR:Downloader.Win32.LMN.a». Возможно на это решение положительно повлияла цифровая подпись, однако это лучше, чем решение встроенного в Windows антивируса от Microsoft, который в образцах не увидел вообще никакой угрозы.

Для chromesetup.exe доступны сведения о поведении, видимо предоставленные какой-то из антивирусных компаний, в частности сетевая активность:


Итак, у нас есть два странных домена и ссылка на поддомен Mail.ru, посмотрим на них внимательнее:
easyupdate.ru зарегистрирован 30 января 2013 года со скрытием информации о владельце (Private person), эта услуга доступна и бесплатна у большинства российских регистраторов доменов. В корне сайта нас встречает 404:
404 Not Found

The resource requested could not be found on this server!
Powered By LiteSpeed Web Server
LiteSpeed Technologies is not responsible for administration and contents of this web site!

Вторая ссылка, очевидно, использовала уязвимость типа URL redirect на одном из поддоменов Mail.ru, однако, судя по всему, уязвимость уже успели устранить. Возможно злоумышленники решили, что такая ссылка легче пройдёт через firewall.

Домен dwnfile.ru зарегистрирован 1 февраля 2013 года со скрытием информации о владельце.
В тексте страниц лендинга также присутствуют ссылки на следующие домены:
uprgadotesbest.com — зарегистрирован 26 декабря 2012 года через PrivacyProtect.org и на текущий момент имеет статус «Locked»
uploadeasy.ru — домен вообще не зарегистрирован, видимо забыли в суете выкатывания «в продакшн», киберсквоттеры, налетай!

Все домены регистрировались через Reg.ru.

Кроме того, троян отключает в реестре использование прокси, что, очевидно, повлияет на работу IE и Chrome, у Firefox и Opera собственные настройки для прокси.

Партнерка

Далее, ссылка _http://dwnfile.ru/get_xml?file_id=18499626 возвращает нам XML следующего содержания:
<?xml version="1.0" encoding="utf-8"?>
                    <file>
                        <dltype>simple</dltype>
                        <name><![CDATA[chromesetup.exe]]></name>
                        <url><![CDATA[http://easyupdate.ru/chrome/ChromeSetup.exe]]></url>
                            <partner_new_url><![CDATA[http://dwnfile.ru/software_install?guid=$__GUID&sig=$__SIG&file_id=18499626]]></partner_new_url>
                        <partner_online_url><![CDATA[http://dwnfile.ru/online_activity?guid=$__GUID&sig=$__SIG&sid=1469&pid=775]]></partner_online_url>
                        <referer>profitraf1</referer>

                        <internet></internet>
                        <referer_inet>profitraf4</referer_inet>
                        <internet_silent></internet_silent>
                        <file_size><![CDATA[0]]></file_size>
                        <partner_new_url_inet><![CDATA[http://dwnfile.ru/software_install?guid=$__GUID&sig=$__SIG&ovr=$__OVR&file_id=18499626&browser=1]]></partner_new_url_inet>
                        <mpcln><![CDATA[9516]]></mpcln>
                    </file>

Любому при взгляде на это нехитрое содержимое, становится очевидно, что мы имеем дело с очередной партнёрской программой по так называемым «инсталлам», параметр guid — это уникальный идентификатор бота в будущем ботнете, а partner в данном контексте — это аффилиат, человек, зарегистрировавшийся в партнерской программе, получивший в её кабинете ссылки на файлы для распространения и распространяющий эти файлы в меру своей испорченности, получая при этом некоторый процент от доходов владельцев партнерской программы и ботнета из ничего не подозревающих пользователей. Погуглив идентификатор profitraf1, выходим на саму партнерскую программу: profitraf.ru
Регистрация только по инвайтам, однако первый же попавшийся в гугле инвайт подошёл и я попал внутрь:


Нас встречает приятный дизайн, статистика, баланс и даже реферальная система, всё очень канонично. В разделе «Установка кода» написано:
Для работы с партнерской программой необходимо поменять ссылки на любой скачиваемый контент (mp3, документ, видео — абсолютно любой файл), расположенный у вас на сайте. Ссылки меняются таким образом, что вместо вашего домена указывают на специальный загрузчик, расположенный на домене profidownload.ru. В этой ссылке специальным образом прописывается исходная ссылка (которая до этого была на сайте). По клику пользователя сначала загружается и запускается загрузчик, который и скачивает на компьютер пользователя исходный файл. Одновременно с загрузкой устанавливается тулбар и браузер. Для пользователя это происходит практически незаметно.

Итак, можно подключить свой сайт, поменять там ссылки на указанные и получать прибыль. А вот и ещё одна цитата, на этот раз из огромного, на 215 страниц, топика этой партнерки на крупнейшем форуме вебмастеров в рунете:
Мы предлагаем абсолютно прозрачную, «белую» схему заработка — без SMS-подписок, платных архивов и прочих «серых» схем. Мы распространяем браузер и тулбар (надстройку для браузеров) крупнейшей компании РуНета — Mail.Ru. Каждый сайт проходит строгую модерацию и только после проверки нашими специалистами допускается к участию в программе.

И вот тут мне, наконец, стало ясно, откуда взялась цифровая подпись Mail.ru на малвари, попавший на компьютер моей мамы. В том, что это именно малварь, сомневаться не приходится, достаточно изучить результаты исследования образцов антивирусными компаниями. И эта зараза может получить очень широкое распространение, учитывая выбранные методы маскировки под обновления самых популярных программ для Windows.

Неутешительные итоги

Хотелось бы отметить, что лично мне очень обидно было обнаружить в финале своего домашнего расследования саму корпорацию Mail.ru, так как изначально этот вариант мне казался самым невероятным. Разумеется, даже если эта история станет достоянием гласности, официально вину спихнут на «недобросовестного» партнёра, но, по моему мнению, компания, которая предоставляет свою цифровую подпись каждому встречному для несанкционированной загрузки на компьютеры ничего не подозревающих пользователей троянского программного обеспечения, достойна звания «ботмастер» года. Куда там доморощенным вирусописателям без сертификатов, такой огромный ботнет, как у Mail.ru, им никогда не нарастить. И кто знает, как вышеозначенная корпорация решит монетизировать своих незадачливых пользователей, когда у неё дела пойдут ещё хуже, чем сейчас.

Обновление от 12 марта

На сегодняшний день ни один домен злоумышленников уже не резолвится. Возможно, это связано с тем, что этот топик даже в песочнице был проиндексирован гуглом и начал показываться в выдаче по запросу «easyupdate.ru».

Благодарю Mairon за приглашение.
Поделиться публикацией
Похожие публикации
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама
Комментарии 319
  • +16
    даешь GuardMailru в каждый компьютер
    • +6
      Система без мейлру.спутника и вебальты — деньги на ветер. Даешь! :)
      • +4
        • 0
          скрытая реклама profitraf.ru ?))
        • +79
          А вот я, честно говоря, не удивлен.
          • –4
            Да что вы! Это же весело, когда у Mail.Ru воруют цифровые подписи и используют для «подписи малвари».

            Интриги, скандалы, расследования.
            • +6
              Воруют?..
              • +3
                Еее… прошу прощения. Не понял до конца сначала :(
          • +2
            А домен то уже — того… не делегирован.
            • +5
              скорее все — просто перевели на новый. мне кажется у таких «партнерок» должны быть целые пулы в запасе.
              • +6
                К сожалению вы правы. Сейчас гуглится по крайней мере один рабочий домен skype-upd.ru с таким же лендингом. Кроме того, делегирован и firefox-upd.ru, но на нём пока пусто. Пока будет существовать партнёрка, домены будут менять как перчатки, это ведь всего 100 рублей.
                • 0
                  на firefox-upd.ru — только голый индеец.
                  а с skype-upd.ru ничего не качается ;( только редирект на prodomen.info/?sid=18
                  • +9
                    Хороший способ борьбы с заразой — валить хабрэфектом их сайт :)
                    • 0
                      С учётом количества серверов у обозначенной компании это вряд ли реально.
                      • +2
                        Может и хороший, но в целом бессмысленный.
                        К сожалению, подобных партнёрок, предоставляющих недобросовестным вебмастерам возможность сомнительного, но лёгкого заработка — десятки, а доменов, которые они задействуют — сотни. Серверы под это всегда арендуются заведомо «bulletproof» (печально известные Akrino Inc, AntiDDOS.biz, SevaHost и т.п. хостеры).
              • 0
                Прикольно! Для неопытного юзера вообще капкан!
                • +4
                  А ведь когда-то я пользовался Mail.Ru Агентом и так любил эту компанию…
                  • +13
                    Я тоже иногда вспоминаю эти розовые деньки… Свежевышедшая GTA Vice City, рамблер в качестве домашней страницы, опера в качестве любимого браузера… Эх, куда все ушло…
                    • 0
                      Да, помню, чтобы вывести эту заразу в виде М.Агента с компьютера надо было ещё постараться…
                    • +15
                      Скажите, а почему никто не подаст на них в суд за это? На лицо мошенничество и виновата mail.ru в первую очередь (т.к. подпись их)
                    • +4
                      интересно, какие из этого проистекают юридические последствия для Mail.ru
                      • +6
                        Для самой мейл.ру последствий никаких, они могут сказать, что партнер нарушил условия распространения софта и забанить его.
                        Так обычно и происходит. Регулярно подобные файлы отправляю в вирлабы и самой мейл.ру (хотя последнее лишено смысла).
                        • 0
                          сотрудники Mail.ru склонны по данному чувствительному для них вопросу переводить стрелки на неназываемых партнёров, которые в свою очередь могут привлекать к распространению кого попало и, какая неожиданность, не могут уследить за контентом каждого портала-дорвея (нормальных сайтов, распространяющих говнозагрузчик Mail.ru, мне почему-то за последние месяцы не встречалось вообще)

                          почитайте подборку из моего комментария выше
                      • +87
                        «Ваша версия Skype устарела, его поддержка закончиться 04.03.2013...»
                        Типичный представитель вирусописателей.
                        • –66
                          У вирусописателей (в данном случае) с грамотностью все в порядке, плохое знание русского языка продемонстрировал автор топика.
                          • +48
                            На первом скришоте видно, что это действительно ошибка в тексте лендинга, я просто процитировал этот текст.
                            • +30
                              Моя невнимательность. Приношу свои извинения.
                        • +8
                          Старая тема: впариваем якобы обновления, а внутри — софт mail.ru. И овцы целы и волки сыты.
                          • 0
                            Ладно бы ещё действительно диструбутивы бесплатного ПО, но безвредность распространяемого «Загрузчик Mail.ru» контента организатор партнёрской програмы, не говоря уже о самом Mail.ru, никак не проверяет. Скорее наоборот, все стороны данной завуалированной афёры (а по-другому трудно назвать) заинтересованы распространять абсолютно любую хрень любыми возможными способами.
                            • +1
                              Как и любой файловой партнерке.
                          • +1
                            А есть из нас, кто реально вот таким образом «обновился» на новую версию скайпа? Может быть кто-то по неосторожности все-таки это сделал? Отпишитесь, пожалуйста.
                            • +1
                              Если вас интересует, что произойдет с системой, можно на виртуалке «обновить скайп».
                            • +12
                              Просто отличный комментарий с этой темы по Profitraf(http://forum.searchengines.ru/showthread.php?t=776617)

                              «Если бы mail.ru перестал внаглую пихать в загрузчик свой сраный GUARD на который между порочим многие антивирусы вполне справедливо реагируют как на троян — то было бы всё тип-топ.

                              ProfiTraf, напишите в mail.ru, чтобы они предоставили для нас вебмастеров ВОЗМОЖНОСТЬ ВЫБОРА ЧТО РАСПРОСТРАНЯТЬ. Если бы в загрузчике шел только браузер, то антивирусы бы тихо молчали и уже только за счет более высокой конверсии отдача была бы ничуть не хуже чем вместе со всем этим мэйловым дерьмом (guard и прочее) и проблем и жалоб нам от пользователей не было бы вообще.»
                              • +31
                                Как прокомментирует этот пост Mail.Ru Group?
                              • +2
                                Была история, когда возможно было получить сертификат для подписи habrahabr.ru/post/83008/
                                • –31
                                  Казалось бы, при чём тут «Почта России».
                                  • 0
                                    Действительно, при чем?
                                  • +3
                                    Вы забыли самую малость — данные сертификата, которым подписана малварь.
                                    • +6



                                      По ссылкам на Virustotal в статье можно убедиться в достоверности подписи на всех образцах:
                                      chromesetup.exe внизу на вкладке «Дополнительные сведения» есть раздел Sigcheck. Цитата:
                                      signers..................: LLC Mail.Ru; Thawte Code Signing CA — G2; thawte Primary Root CA
                                      signing date.............: 7:03 PM 3/2/2013

                                      Также я проверял данные с закладки «Состав» в свойствах сертификата цифровой подписи, они совпадают до байта с подписью на файле Mail.ru Агента.
                                      • +1
                                        Было бы достаточно сравнить thumbprint и путь УЦ, выписавших сертификат. Про расширенную информацию на VT спасибо.
                                      • +2
                                        Тоже не нашел этого. tavel, покажите «кем выдан» сертификат.
                                        • +1
                                          Уже показали, спасибо! Добавьте второй скриншот в пост, чтобы не было лишних вопросов. (не туда ответил)
                                      • +33
                                        Почему-то такие новости о mail.ru не удивляют. Для меня эта компания умерла несколько лет назад.
                                        • –2
                                          А в чём малварность этой малвари? По-моему обычный Downloader. Или для вас малварь==любой зловред?
                                          • +2
                                            Оно сносит настройки прокси, например. Мало?
                                            • +13
                                              малварь==любой зловред

                                              Вы не поверите…
                                            • +3
                                              Уже как-то была ситуация когда mail.ru впаривал свой браузер. Теперь решили пойти более суровым путём похоже.
                                              • –195
                                                Здравствуйте.

                                                Mail.Ru не распространяет вирусы, троянские кони или malaware.

                                                Тем не менее, есть одна программа, которая делается нами — Mail.Ru Downloader — и которая определяется некоторыми антивирусами следующим образом (я перечисляю названия из ссылок на virustotal, которые приведены в статье):
                                                • not-a-virus:HEUR:Downloader.Win32.LMN.a
                                                • Win32:Downloader-SPV [PUP]
                                                • Adware.Downware.915
                                                • Adware.Downloader.MR


                                                Эта программа позволяет владельцу сайта, на котором можно что-то скачать (музыку, файлы, торренты) реализовать это скачивание через данную программу. В процессе скачивания она предлагает пользователю параллельно поставить ещё и Спутник или браузер, установить домашнюю страницу и поиск по умолчанию на Mail.Ru, а владелец сайта получает некоторый доход за новых пользователей, которых он таким образом привёл.

                                                Пользователю от всего этого можно отказаться, все галочки работоспособны. Больше программа ничего не делает — она качает указанный файл и может, при наличии проставленных галочек, установить весь дополнительный набор программ и опций. И она не вирус. Выглядит она так:



                                                Точно так же она не даёт никаких преимуществ программам, которые качаются через downloader — цифровой подписью подписан только Downloader, а всё что будет запускать пользователь потом — подписью Mail.Ru не подписывается и не может быть подписано, проверяется антивирусами отдельно и так отдельно Windows спрашивает пользователя на предмет того, доверяет он или не доверяет автору той программы.

                                                В этом смысле, несмотря на то, что скриншоты в статье правильные, сайт этот существовал (и был заблокирован), но выводы — неверные.

                                                Какие сайты ставят себе Downloader?

                                                Есть большие, крупные порталы, с которыми мы работаем напрямую.
                                                Есть «партнёрки», наподобие того же Политрафа, которые объединяют под собой мелкие сайты. Мы работаем с владельцами партнёрок, они уже дальше со своими партнёрами.

                                                Своих непосредственных партнёров мы контроллируем сами. Партнёров партнёрок контроллировать должны владельцы партнёрок, но мы тоже периодически проверяем сайты, с которых идёт скачивание, проверяем контент, который качается через downloader. Конкретно этот сайт вирусов не распространял — но он реализовал совершенно дикую рекламу (пугал пользователей) и не давал возможности уйти с сайта не скачивая downloader. Это мы тоже не приветствуем, сайт был заблокирован, причём именно даунлоадером.

                                                Почему её определяют антивирус, да ещё под такими странными названиями?

                                                Ну, названия такие потому что это всё-таки не вирус. Но это downloader, это adware — в этом смысле всё честно.
                                                Определяют потому, что иногда всё-таки какой-то сайт прорывается через проверки (или сначала ведёт себя чисто, а потом уже начинает бедокурить) и начинает распространять либо платные архивы, либо всё-таки вирусы — даунлоадер попадает под горячую руку и антивирусы блокируют заодно и еrо.

                                                • +61
                                                  Вы молодцы! Тем самым вы дарите зловредописателям бесплатный троян-даунлоадер и вирусные аналитики вынуждены догадываться и проводить эксперименты хороший файл скачает даунлоадер или зловреда/рекламу.
                                                  • –62
                                                    Честно говоря, я не думаю что вирусным аналитикам это мешает — любая программа откуда-то качается или чем-то запускается.
                                                    • +7
                                                      Я не видел исходного кода этого даунлодыря, но теоретически, раз уж он уже запущен доверчивым пользователем, он может скачать файл и из другого места… а также подмешать что-то в код файла и запустить без ведома пользователя. Почему я должен доверять ему, если он скачивается под именем другой программы?
                                                      • +19
                                                        Я так понимаю, что даунлодер подписан, а значит заносится всякими HIPS'ами в доверенные приложения… и уже оно может скачивать и запускать любой не доверенный файл абсолютно свободно, это нормальная логика работы наследования разрешений. Какая-то козья морда получается для пользователя, не находите?
                                                        • +9
                                                          Да, это и хотел сказать) Еще и окно закачки браузера имитирует, судя по скриншоту
                                                          • –19
                                                            Мы об это место при создании Загрузчика споткнулись, как раз были такие претензии со стороны антивирусных компаний.
                                                            В WinAPI есть возможность запустить программу так, чтобы разрешения не наследовались, мы запускаем стороннюю программу именно так.
                                                            • +1
                                                              А все сторонние HIPS'ы это тоже распознают?
                                                              • +3
                                                                Как человек работающий с HIPS — к сожалению далеко не все, а некоторые крупные только в режиме Паранойи.
                                                              • +12
                                                                ваша мама пользуется спутником, гардом и доунлоадером?
                                                                • –14
                                                                  Такой рынок пользователей ПК в России. Хотят себе мейл агенты и прочую шнягу — пожалуйста.
                                                                  Что такое гард, сутник от mail.ru не знаю, но пожалуйста не переходите на личности. Андрей помимо основной деятельности ведет курс ИИ в маевнике и имеет степень. А чего добились Вы?

                                                                  PS: Профессионалы через java зальют www.opennet.ru/opennews/art.shtml?num=36270. Не вижу ничего страшного в наследовании подписи.
                                                                  • +9
                                                                    Преподаватель МАИ, кандидат наук вынужден писать программы типа Защитника. Я почему-то не думаю, что Андрей этим гордится. Вообще я был неприятно удивлен, когда узнал, что руководитель поиска пишет такой сомнительный софт (надеюсь, на досуге). Вот поисковых компаний в мире очень мало. И чем можно гордиться, так это руководством одной из поисковых систем. А чтобы писать всякий adware-scareware не нужно иметь степень и вести курс ИИ…
                                                      • +74
                                                        >>даунлоадер попадает под горячую руку и антивирусы блокируют заодно и еrо.
                                                        Правильно делают
                                                        • –66
                                                          Работа такая, да.
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                        • +66
                                                          Не мне вас учить зарабатывать деньги, но это просто подло. Не именно этот «Downloader», а всякие ваши бары, гварды и прочая ересь, да и «Downloader» в том числе…

                                                          На некоторые компьютеры «не прошаренных» пользователей смотреть без слез, после ваших спутников, просто невозможно
                                                          • –95
                                                            Не мы первые это начали.
                                                            Вот в этой статье я немного написал про историю дистрибуции: habrahabr.ru/company/mailru/blog/150303/
                                                            Ну и в комментах там тоже много чего обсудили.
                                                            • +97
                                                              — Не мы первые это начали.
                                                              Обалдеть отмазка.

                                                              Вы еще трояна напишите под предлогом «не мы первые».
                                                              • –76
                                                                Это не отмазка, это ремарка о состоянии дел.
                                                                Я имел в виду, что тулбары и браузеры распространяют почти все крупные интернет-порталы.

                                                                Троянов мы не пишем и никогда писать не будем.

                                                                • +41
                                                                  Разговор народ — депутат:

                                                                  — Почему вы воруете деньги у честных людей?
                                                                  — Не мы первые начали заниматься воровством.
                                                                  — Вы считаете это оправданием?
                                                                  — Это не оправдание, а ремарка о состоянии дел. Я имел в виду, что отмыванием денег занимаются почти все крупные чиновники. Напрямую денег я у вас не крал и красть никогда не буду.
                                                              • +39
                                                                Это вас не оправдывает! Давайте будем насиловать и грабить, прикрываясь тем что «Не мы первые это начали.»
                                                                • –47
                                                                  Тулбары и браузеры распространяют практически все интернет-порталы, остальной перечисленной вами деятельностью никакая интернет-компания не занимается.
                                                                  • +40
                                                                    То есть если бы интернет–порталы…
                                                                  • +25
                                                                    Кто-то распространяет, а кто-то впаривает. Чувствуете разницу?
                                                                    • –44
                                                                      Чувствую.
                                                                      Но вот только не наблюдаю этого в природе — можете привести примеры этой разницы?
                                                                      • +21
                                                                        Вы создаёте на сайт раздел «Спутник», там предлагаете добровольно скачать его всем желающим домохозяйкам — это распространение (человеку захотелось, он пришёл и скачал).

                                                                        Сорить везде своими загрузчиками, в которых иногда спрятаны галочки для отмены установки, иногда они неактивны и даже когда они работает, неужели вы не понимаете, что пользователю оно может и не нужно, но все соглашения они не читают? Честно, не понимаете? Вряд ли. И это впаривание, рыбалка на дурака. (Часто пользователи даже не понимают, что им установится.)
                                                                        • +3
                                                                          Сорить везде своими загрузчиками

                                                                          Ладно бы это они делали явным образом и с ограниченным кругом проверенных партнёров, распространяющих заведомо качественны контент, так нет… Давайте лучше наплодим партнёрок, они привлекуют любителей клепать дорвеи, которые с каждой липовой ссылки «Скачать» будут нагонять траффик. «Репутация — ничто, инсталлы — всё» ;-)
                                                                        • +13
                                                                          1. Я увидел брузер Опера в рекламе, и скачал его. Пользуюсь, всем доволен.
                                                                          2. Я 7 раз вычищал мэйл спутник и мэйл гвард со своего компа, потому что пропустил галочку в совершенно не относящемся к мэйлру приложению.

                                                                          Так понятней? Видна разница?
                                                                      • +29
                                                                        Да?! Я ни разу не встречал предложения скачать обновление Skype (которого у меня нет) с подписями других крупных порталов.
                                                                        • –29
                                                                          Обновление скайпа не было с нашей подписью.
                                                                          С нашей подписью был загрузчик.

                                                                          Но по существу — а предложения обновить браузер с подписями других порталов вы видели?
                                                                          Установку тулбаров и прописывание домашних страниц при установке какого-нибудь ПО — видели?

                                                                          И, повторю, конкретно этот сайт, по способу распространения, я тоже считаю вредным.
                                                                          • +10
                                                                            Ну как же это не было? Вижу на странице — обновить скайп. Качаю и чью подпись вижу? Вы бы вместо того, чтобы пытаться оправдаться, посмотрели бы логи скачивания с этих сайтов, посмотрели бы какие «партнеры» так зарабатывают да забанили их. Глядишь, вас бы не считали мусорной конторой. А пока — только красивые слова и ноль результата.
                                                                      • +2
                                                                        Есть еще прикольнее отмазка: «Если не я, то другой все равно ЭТО сделает». Так на выборах за 4 тыщщи мамашки «правильно» считают.
                                                                      • +2
                                                                        Аа! Так это дистрибуция ;)
                                                                      • +51
                                                                        Знакомо
                                                                        image
                                                                        • +12
                                                                          А ещё всплывающие уведомления каждую секунду, которые говорят, что одна хрень поменяла домашнюю страницу, значит она вирус и сейчас я поменяю её обратно. И так от каждой.
                                                                          • +4
                                                                            Аж передернуло)
                                                                        • +32
                                                                          Вау, какая бешеная накрутка коммента идет…
                                                                          • +28
                                                                            Практически перепись сотрудников Mail.ru на хабре :)
                                                                            • +6
                                                                              Здесь уместно упомянуть, что реальная перепись сотрудников Mail.Ru на Хабре имеется в конце вон того профиля, что обнаружить не очень трудно.

                                                                              В силу этого, вероятно, не только карма alkalinin составила −72,1 и продолжает стремительно падать, но и карма всех перечисленных там субьектов в опасности, особенно первых по порядку алфавитной сортировки. (Всего там сотрудников обозначено 242, так что минусов на всех их не хватит, что предвидеть не трудно.)
                                                                              • +4
                                                                                «особенно первых по порядку алфавитной сортировки»

                                                                                Хм… Тогда я с конца пойду.
                                                                                • +2
                                                                                  Лучше скрипт написать, и раз в сутки проходиться по списку рандомом.

                                                                                  Хотя больше одного минуса все равно не поставишь.
                                                                                  • 0
                                                                                    Проходите рандомом, по еще не пройденным.
                                                                                    • 0
                                                                                      Тогда рандом не нужен, просто по списку сверху вниз один раз пройтись достаточно.
                                                                                      • 0
                                                                                        Тогда в первую очередь больше всех достанется тем, у кого ники на первые\последние буквы. Рандом справедливее.
                                                                          • +28
                                                                            Думаю никто и не сомневался, что у Mail.ru профессиональная PR-служба и она умеет красиво отвечать на удобные вопросы, которые им не задавали. Вы зайдите по любой ссылке на Virustotal из этой статьи, посмотрите на подписанные вашей подписью лоадеры размером в ~80 Кбайт, на анализ их деятельности в системе и ответьте, каким образом ваша подпись попала в такой софт. И что значит «просто» downloader? Эта зараза пыталась качать файлы с левых доменов, зарегистрированных неизвестно кем. Если бы программа качала строго с *.mail.ru, не было бы и этого поста и детектов антивирусов.
                                                                            • –54
                                                                              Я не PR-щик, я вообще не вижу смысла в том, чтобы на Хабре, т.е. в профессиональной тусовке, отвечал бы специалист по PR или SMM. Это просто глупо. Просто я, в частности, занимаюсь созданием Загрузчика, и поэтому на Хабре мне за него и отдуваться.

                                                                              В заголовке этой статьи написана неправда — нет никакого трояна с цифровой подписью Mail.Ru, замаскированного под обновления популярных программ. Это, действительно, не вопрос, а утверждение — но это всё равно неправда, поэтому мне пришлось ответить.

                                                                              Я могу ещё раз повторить то, что написано выше — софт (Загрузчик) сделан нами, поэтому он подписан нашей подписью.

                                                                              Анализ деятельности в системе приведён в статье, там есть скриншот network activity. Посмотрите на него:
                                                                              • скачивается файл, который хотел скачать пользователь (на который, если бы не было загрузчика, была бы прямая ссылка). В скриншоте это тот же домен, между прочим, на который пользователь попал. Если бы даунлоадера не было, то он бы качал эту прямую ссылку точно так же, как и через даунлоадер, ничего бы не поменялось.
                                                                              • сообщается нам (на сайт *.mail.ru) о том, что Загрузчик качал такой-то файл. Это анонимно, нам нужен только урл, чтобы делать проверку качаемого через загрузчик — что там нет вирусов или ещё какого-нибудь терша, мы выборочно проверяем этот контент на вирусы


                                                                              Это всё. Ну, кроме того загрузчик умеет докачивать файлы при обрыве соединения и т.п. Не важно.

                                                                              Т.е., если бы здесь не было загрузчика, то пользователь всё равно скачал бы указанный файл.

                                                                              Ещё раз повторю — я считаю, что реклама этого сайта через запугивание пользователя и принудительный запуск загрузчика по любому действию пользователя, это недопустимо.
                                                                              Но фактически там не было вирусов, там лежал обычный, чистый дистрибутив Скайпа.
                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                • +7
                                                                                  >>мы выборочно проверяем этот контент на вирусы
                                                                                  А пользователь думает — «О! От mail.ru программа, значит вирусов нет и можно довериться!». А вы даже не контролируете, что загружаете пользователю «от своего имени».
                                                                                  • –8
                                                                                    От Mail.Ru — загрузчик.
                                                                                    Следующая программа будет со своим сертификатом, про неё пользователя спросят ещё раз.

                                                                                    Мы выборочно проверяем, что загружается через загрузчик.
                                                                                    • +10
                                                                                      Простой пользователь этого не поймет(Да и продвинутый может пропустить)! Он подумает, что «обновления для скайпа» тоже от мэил.ру… какая-то совместная сборка например — такое бывает. Вы понимаете о чем я, не прикидывайтесь)
                                                                                      • +3
                                                                                        Продвинутый пользователь не будет качать «обновление для скайпа» от «mail.ru».
                                                                                      • +10
                                                                                        Я захожу в продуктовый магазин (Mailru Классик) которому доверяю, а на полках этого магазина лежит товар, часть из которого выборочно проверена, а часть тухлая ещё с советских времен.

                                                                                        А в подарок мне дают скрытую видеокамеру, которая звонит в милицию, если я захожу в другой магазин, и которая оставляет в моём навигаторе только один магазин.

                                                                                        Кто виноват? Магазин, или посредник, который привозит товар?
                                                                                        • +3
                                                                                          Не просто дают в подарок, а тайком подкладывают в пакет (ну, ладно — тихо-тихо шёпотом спрашивают, надо ли это сделать, молчание считают согласием).
                                                                                    • +9
                                                                                      Т.е., если бы здесь не было загрузчика, то пользователь всё равно скачал бы указанный файл.

                                                                                      С какой целью? Пользователю этот файл был абсолютно не нужен, ему насильно его впихнули обманным путем, и все это только из-за загрузчика. Если бы не было загрузчиков то пользователь даже бы и не попал на ту страницу.
                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        • 0
                                                                                          Ну, если уж вы так заботитесь о пользователях, встройте в свой загрузчик проверку, хотя бы по каким-то сигнатурам загружаемых файлов. Пусть даже в удалённом режиме.
                                                                                          • +5
                                                                                            программа, которая мимикрируется под что-то иное и изменяет систему в коммерческих целях ее разработчика — вирус и нарушение все, чего можно. Мне не важно, как вы ее назовете — adware, или даунлоадер, это как раз софистика. Важно то, что вместо/вместе с предлагаемым п/о качается что-то еще, навязывающее услуги. Причем, услуги не «проштрафившегося» партнера, а именно ваши.
                                                                                            • –1
                                                                                          • +68
                                                                                            Эта программа — зло! Всегда приходится убирать эти сранные галочки! Ваш даунлоадер полностью копирует интерфейс стандартного даунлоадера, что рефлекторно нажимаешь «скачать» не обращая внимания, а игра на невнимательности — уже попахивает! Это тупо дропер!!! Это похоже на баннер иметирующий часть интерфейса, это похоже на фишинг! И вообще это не даунлоадер — а дропер всяких ваших остальных малварей — гуарда и.т.п.
                                                                                            • –59
                                                                                              Интерфейс отличается как минимум блоком с галочками — они явно видны и занимают треть от диалога.

                                                                                              Игра на невнимательности — справедливый упрёк, но, повторю, это упрёк не только нам, а вообще всей индустрии, где невнимательность пользователя при использовании бесплатного контента используется для получения косвенного дохода теми же создателями программ или веб-мастерами.

                                                                                              И Guard — не Malaware.
                                                                                              • +32
                                                                                                То есть вы вините во всём «индустрию», одновременно являясь частью этой «индустрии»? Браво.
                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                  • –32
                                                                                                    Guard деинсталлируется через удаление программ, стандартным образом.
                                                                                                    • +27
                                                                                                      Вчера у друга снес этот ваш гвард через «Программы&Компоненты», а стартовые страницы браузеров всё равно на мейлру меняет. Так и не вычистил до конца, ибо времени не было.
                                                                                                      • +7
                                                                                                        Я как-то сталкивался с этой гадостью. Дело в том, что это реально молварь.
                                                                                                        Я попробовал изучить действие установленного гварда. К сожалению, дело было давно и всех подробностей я не помню. Но помню точно вот что:
                                                                                                        1) Это был на 100% Mail.Ru Guard.
                                                                                                        2) Был exe-шник, который перезаписывал файл с настройками всех известных браузеров по 5-10 раз в секунду, прописывая в настройки прикреплённые закладки на 2-3 сервиса от mail.ru, устанавливая домашней страницей mail.ru и устанавливая поисковиком по умолчанию поисковик от mail.ru. Данные деяния можно заметить просматривая активность работы с файловой системой. Оттуда же можно определить и приложение, которое всё это проделывает.
                                                                                                        3) Если удалить exe-шник, который делает грязные дела, то он снова появится.
                                                                                                        4) Чтобы избавиться от всего этого г**на я изрядно попотел.
                                                                                                        Просто надо удалить вредоносное приложение, которое воспроизводит вредоносное приложение, которое в свою очередь изменяет настройки браузеров.

                                                                                                        Кроме как «впариванием» это никак нельзя назвать.

                                                                                                        Я даже как-то пос писал о том как я на это дело наткнулся. Но после публикации поста был жестоко заминусован. Позже хотел обновить его алгоритмом действий о том как я от этого хлама избавился, но подумал, что лучше будет убрать пост в черновики…
                                                                                                        • 0
                                                                                                          Мы такое уг каждый день вагонами сносим. УГ оно и в африке УГ
                                                                                                      • +4
                                                                                                        Бгг. Отличная шутка.
                                                                                                    • +27
                                                                                                      это упрёк не только нам, а вообще всей индустрии, где невнимательность пользователя при использовании бесплатного контента используется для получения косвенного дохода теми же создателями программ или веб-мастерами.

                                                                                                      Вот не надо про всю индустрию. Не рекламы, а примера ради, хоть и очевидного — гугл, подобной фигней не занимается, а делает все, чтобы люди пользовались (добровольно и осознанно, а не по невнимательности и принуждению гуардом) их сервисами. С этого они имеют _прямой_ доход. А мейл.ру, вместо того, чтобы повышать привлекательность своих сервисов, занимается всякой сомнительной хренью, которая только убивает репутацию и вызывает дикое раздражение у людей, которые случайным образом устанавливают себе весь этот хлам. И все ради каких-то там «косвенных доходов». Вот и вся разница. Русский бизнес, прям.
                                                                                                      • +1
                                                                                                        Ни кто не идеален.
                                                                                                        Тот же хром недавно пытался мне установиться при установке обновления флешплеера, которое флешплеер зачем-то попросил выкачать вручную с сайта и установить.
                                                                                                        Там еще что-то в комплекте шло, не помню что именно.
                                                                                                        И галочки в установщике не было — ее, оказывается, надо было снимать на сайте. Зато можно было просто отменить установку лишнего. В этом плане меня продуманность восхитила: нажимаешь закрыть окно установки и установщик отменяет все, кроме флешплеера.

                                                                                                        Правда до подделки интерфейса стандартного загрузчика винды не дошел ни кто, кроме mail.ru.
                                                                                                        • +4
                                                                                                          Ask Toolbar обычно с флешевым плеером идет. Он, да еще Mac Cleaner (владельцы Маков без адблока знают, о чём я) — вот единственные имхо программы наряду с поделками от мейлару, которые вызывают лучи неприкрытой НЕНАВИСТИ. От «остальных представителей индустрии» подобного нет и близко. Если мэйлру равняется на аск.ком, можно мэйлуру только посочувствовать.
                                                                                                          • +4
                                                                                                            Chrome просто просит установить Adobe Flash Player, а вот претензии по загрузке McAfee вместе с Flash Player'ом — это уже чисто к Adobe, Google тут совсем ни при чем.
                                                                                                            • +3
                                                                                                              Не «Chrome просто просит установить Adobe Flash Player», а Adobe Flash Player пытается установить Chrome вместе со своим обновлении. Тут гугл в сообщниках. На том компе хром не установлен.
                                                                                                              • +1
                                                                                                                Извиняюсь, не так понял. Вполне возможно. Сам сталкивался именно с описанным вариантом, когда при закачке Flash Player надо снимать галочку с McAfee… В любом случае до Mail.ru и тем и другим далеко.
                                                                                                                • +1
                                                                                                                  А я не сталкивался вроде…
                                                                                                                  Но в принципе — вполне возможно что и «в сообщниках». Ведь его pepper-версия поставляется с самим хромом, поддерживается гуглом, и никакой «установщик флеша» теперешниму хрому — и вовсе не нужен.
                                                                                                                  В текущей стабильной версии (25) — в процесс должен грузится — Google\Chrome\Application\25.0.1364.152\PepperFlash\pepflashplayer.dll — что, у меня собственно и происходит. Флеш работает, но Adobe Flash не установлен.
                                                                                                          • 0
                                                                                                            Правда, хром частенько оказывается в самых разных программах.
                                                                                                            В установщике Аваста, например.
                                                                                                          • –2
                                                                                                            «Не виноватая я, разве что mala-mala, насяльника.»
                                                                                                            • +27
                                                                                                              Андрей, судя по комментариям вы толковый человек, но явно попали в плохую компанию. Подобные приемчики распространения ПО и схемы по увеличению трафика и пользовательской базы, в купе с имитацией стандартного интерфейса — подло и низко.
                                                                                                              • +3
                                                                                                                Всегда раздражали такие вот игры на невнимательность. Ставишь программу, а она на каком нибудь этапе установки впихивает тебе какую нибудь ерунду. Еще хуже когда эта ерунда спрятана за кнопкой advanced.
                                                                                                                В вашем случае что бы оправдаться перед пользователями на мой взгляд надо:
                                                                                                                1. Переделать внешний вид загрузчика — фирменный стиль, четко и внятно описать что это и зачем это (без мимикрии под стандартные интерфейсы)
                                                                                                                2. Перед загрузкой и установкой необходимо — проверить устанавливаемый софт на вирусы, вывести ознакомительный splash screen(для каждой программы свой и за этот экран придется вам или тем кому вы доверяете нести ответственность) с большими кнопками подтверждения или отмены установки
                                                                                                                • 0
                                                                                                                  Т.е., если бы здесь не было загрузчика, то пользователь всё равно скачал бы указанный файл.
                                                                                                                  Игра на невнимательности — справедливый упрёк
                                                                                                                  Путаетесь в показаниях. Статья 273 ждет вас.
                                                                                                              • +42
                                                                                                                А можете прокомментировать, зачем вы распространяете… Нет, не браузер, не тулбар, это всё отчасти понятно… Даже отдалённо можно понять замену стартовых страниц и дефолтовых поисковиков… Нет.

                                                                                                                Зачем вы ставите Guard, который блокирует отмену всего этого? И вообще ведёт себя как типичная малварь?
                                                                                                                • –57
                                                                                                                  Guard — не Malaware.

                                                                                                                  Задача его именно в защите настроек, если вы что-то поменяете и скажете в диалоговом окне Guard'а чтобы он их принял, он будет защищать ваши новые настройки, чтобы там ни было (хоть Яндекс, хоть Google).

                                                                                                                  Нужен он для противодействия смене настроек без ведома пользователей.
                                                                                                                  • +36
                                                                                                                    — Нужен он для противодействия смене настроек без ведома пользователей.
                                                                                                                    Вот вы серьезно думаете, что хоть один из читателей хабра поверит в настолько бредовое объяснение его смысла?
                                                                                                                    Что Guard приносит пользу?
                                                                                                                    • +11
                                                                                                                      >Нужен он для противодействия смене настроек без ведома пользователей.

                                                                                                                      Как интересно. Так уж получилось, что за последние несколько лет, единственный раз когда какая-то программа поменяла мне поиск и стартовую страницу без моего ведома, случился именно благодаря этому вашему Загрузчик. Эх, надо было praetorian ставить.
                                                                                                                      • +15
                                                                                                                        кстати, если быть искренним, у Яндекса тоже такой защитник есть. Вообще, в последнее время Яндекс начал многое перенимать у Мэйлсру, не забывая обсирать (-:
                                                                                                                        • +12
                                                                                                                          Вот когда я говорю, что яндекс скатился к уровню мейлсру, то минусуют, а вам плюсов влепили )
                                                                                                                          Такой хабр!
                                                                                                                          • 0
                                                                                                                            Таково c'est la vie вообще, сегодня плюсуют, завтра уже недостаточно кармы (-:
                                                                                                                          • +1
                                                                                                                            А можете перечислить, что конкретно Яндекс перенял у Мейла?
                                                                                                                            • +5
                                                                                                                              1. praetorian — ну это такой GuardYandexRu
                                                                                                                              2. Обновления punto при явно снятой галке «проверять обновления» — кто-то на хабре жаловался.
                                                                                                                              • 0
                                                                                                                                на самом деле они оба скопированы с пионера в этой области — сервиса от гугла:)
                                                                                                                                про панто — там же все объяснили потом, запросы шли от планировщика задач, емнип
                                                                                                                              • 0
                                                                                                                                Конкретные вещи уже упоминали и выше и ниже по этой ветке.
                                                                                                                                Если же ещё конкретнее копать, то это как анализировать, что Ф. Купер перенял у В. Скотта (-:
                                                                                                                                Дело неблагодарное и спорное.
                                                                                                                                В большинстве это мелочи, которые замечаешь, когда пользуешься сервисами.
                                                                                                                              • 0
                                                                                                                                Имхо, это исключительно ответная реакция. Если твоих пользователей таким наглым образом уводят, нужно же с этим что-то делать.
                                                                                                                                • +1
                                                                                                                                  В конце моего поста я как раз о нем и упомянул.
                                                                                                                              • +6
                                                                                                                                Вот интересно, вы всерьез верите в ту чушь которую пишите? Если вы даже еще и разработчик этого, то я просто не представляю каким образом в мэйлру зомбируют людей до такой степени. У меня просто в голове не укладывается чтобы адекватный человек создавал такие гадости для тысяч пользователей, а потом еще публично пытался сказать что это на благо делается. %)
                                                                                                                                • +3
                                                                                                                                  Тогда объясните пожалуйста, как так вышло, что вся такая полезная программа сидит в системе настолько глубоко, как не всякий антивирус рискнёт залезть, а удалить её — нетривиальнейшая задача?

                                                                                                                                  Вас оправдать может лишь одно. Возможность одной кнопкой избавляться от всего, что устанавливается в таких вот загрузчиках. Нажал кнопку — и можно быть уверенным, что Guard, тулбар и что там ещё поставилось удалилось из системы навсегда.

                                                                                                                                  Когда вы в таком случае сделаете такую удобную и честную деинсталляцию ваших честных программ?
                                                                                                                                  • +3
                                                                                                                                    По словам всех сотрудников мэйлру вся эта гадость удаляется просто без следа в один клик, но такое ощущение, что это доступно только самым злобным работникам мэйлру. Остальным добропорядочным пользователям не поможет и куча всяких клинеров.
                                                                                                                              • +42
                                                                                                                                а должно быть так:
                                                                                                                                image
                                                                                                                              • +7
                                                                                                                                Как не пользовался ни одним сервисом мэйлру с самого их появления, так до сих пор об этом ни разу не пожалел…
                                                                                                                                • +21
                                                                                                                                  Какое потрясающе красивое хабросамоубийство!
                                                                                                                                  • +8
                                                                                                                                    Кстати, а можно вопрос нескромный: а с какого перепуга ваш даунлоадер, который является сторонним приложением, вообще копирует внешний вид окна загрузки IE (стандартного браузера ОС)?
                                                                                                                                    • +15
                                                                                                                                      Ну что вы, разве не видно что окно совсем другое?! Там же снизу галочки есть!
                                                                                                                                    • –4
                                                                                                                                      Я надеюсь, вы понимаете, что вас с таким портфолио на работу больше ни куда не возьмут, лучше бы вообще не отвечали за грехи вашей компании.
                                                                                                                                      • –28
                                                                                                                                        О-О-О!!! Хабрастадо нашло свою новую жертву :)

                                                                                                                                        Жалкие шакалы — только и могут анонимно в карму дрочить, а как чуть только на них бочка качнется, так сразу же «Вы правы», «Извините», «Я больше не буду».

                                                                                                                                        Козлы, уже тошнит от вашего кармодрочева!