Ок, разблокировано, минут через 15 вступит в силу.
Блокировка ресурсов, продвигающих вредоносное ПО
Moderator: RU AdList Mods
Если дудлы утомили - Google No Doodles
Здравствуйте. Мне нужно сменить домен рекламы на сайте из-за технических причин. (по которому мне давненько пришло письмо - обход блокировки кнопки, приводящей к скачиванию вредоносного ПО, приведёт к блокировке вашего домена.)
Можно ли сменить его и сразу внести в вашу базу? чтобы сайт санкций не получил.
Можно ли сменить его и сразу внести в вашу базу? чтобы сайт санкций не получил.
Без указания доменов - вопрос ни о чём.
Если дудлы утомили - Google No Doodles
05.09.18 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
manytorrents.pro
Если дудлы утомили - Google No Doodles
22.09.18 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
filmitorrent.org
Если дудлы утомили - Google No Doodles
Кнопка заменена на безопасное ПО от Яндкеса. Отчет, подтверждающий это:
https://www.virustotal.com/#/file/7add9b431ca9972ab5b09d36bdd500429ecfae925a564870a11fa5cdb9b49285/detection
23.09.18 В связи с рецидивом заблокированы домены:
Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
Add
Напоминаю, что в случае рецидива исключение из "черного списка" производится в течении 5 дней с момента устранения причины, повлёкшей в добавление в оный.
mega-trek.net
torrent-games.net
torrent-world.ru
Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
rutorgame.info
Add
Напоминаю, что в случае рецидива исключение из "черного списка" производится в течении 5 дней с момента устранения причины, повлёкшей в добавление в оный.
Если дудлы утомили - Google No Doodles
Добрый вечер! torrent-games.net - ситуация исправлена. Более "вредоносного" продукта не раздается. Снимите пожалуйста блокировку с сайта.
Очевидно, рекламодатели "погорячились", подменив загружаемые файлы. Сейчас они везде вернулись к нормальному софту (яндекс-браузер). Блокировка снята с доменов:
Но при выборе таких рекламодателей нужно иметь ввиду, чего от них можно ожидать и самим контролировать их работу. Их "ошибки" такого рода - на совести владельцев сайтов. При последующих рецидивах никаких поблажек в виде оперативной отмены блокировки уже не будет.
mega-trek.net
torrent-games.net
torrent-world.ru
Но при выборе таких рекламодателей нужно иметь ввиду, чего от них можно ожидать и самим контролировать их работу. Их "ошибки" такого рода - на совести владельцев сайтов. При последующих рецидивах никаких поблажек в виде оперативной отмены блокировки уже не будет.
Если дудлы утомили - Google No Doodles
30.09.18 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
Заблокированы в связи с рецедивом:
torrent-windows.net
и другие их доменыЗаблокированы в связи с рецедивом:
bestgamer.net
Если дудлы утомили - Google No Doodles
01.10.18 В связи с рецидивом заблокированы домены:
7themes.su
Если дудлы утомили - Google No Doodles
В связи с рецидивом чего? Там не было никаких баннеров запрещенных Вами программ на момент блока. Ни Элементса, ни медиагета, ни юбара. За что блок?
Также как и на torrent-windows.net, кстати.
Вы это зачем написали? Нет сейчас - не означает, что этого не было на момент жалобы и проверки. У меня нет оснований не доверять своим глазам.
Напоминаю, что:
Для исключения ресурса из "чёрного списка" потребуется >
устранить причину, повлекшую его добавление в оный. В случае рецидива это делается через 5 дней с момента устранения. При повторном рецидиве - через месяц. Далее - вечная блокировка.
Если дудлы утомили - Google No Doodles
23.11.18 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
kinoframe.net
Если дудлы утомили - Google No Doodles
25.11.2018 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
softcatalog.info
Если дудлы утомили - Google No Doodles
29.11.18 В связи с рецидивом заблокированы домены:
kinoframe.net
Если дудлы утомили - Google No Doodles
18.12.18 Заблокированы домены:
rusbitor.ru
- в связи с рецидивомv-torrente.ru
- в связи с рецидивомsoftbesplatno.net
- на сайте вообще нет файлов для скачивания, только вредоносное ПОЕсли дудлы утомили - Google No Doodles
В связи с устранением причины блокировки и прошествии 5 дней с момента 1-го рецедива,
rusbitor.ru
разблокирован.Если дудлы утомили - Google No Doodles
В связи с устранением причины блокировки
softbesplatno.net
разблокирован (с предупреждением).Если дудлы утомили - Google No Doodles
02.01.19 Заблокированы домены:
winstation.ru
- в связи с рецидивомsoftbesplatno.net
- в связи с рецидивомЕсли дудлы утомили - Google No Doodles
Code: Select all
msetup.pro
http://joxi.ru/RmzXqvZiYOvypA
Размещается на софтовых порталах
http://joxi.ru/p2785gPCK5qnxA
@Dmitry_IP
Укажите пожалуйста адрес сайта со второго скрина.
Укажите пожалуйста адрес сайта со второго скрина.
Если дудлы утомили - Google No Doodles
Ок,
msetup.pro
заблокирован.Если дудлы утомили - Google No Doodles
Добрый день
Ресурс msetup.pro не имеет никакого отношения к вредоносным сайтам или к вредоносному ПО >
Приведенные ранее детекты на virustotal.com были false-positive, ответственные антивирусные компании были уведомлены и в последствии сняли свои метки и добавили доменное имя в white list (https://www.virustotal.com/gui/url/34908e357459c3ae2c876971b018aa820acbfd113bb40a910101308f036da115/detection)
На данный момент не удается получить ответ от:
1. BitDefender. Приходят только автоматические ответы о том, что запрос принят в обработку, но за 2 недели не было вердикта
2. CLEAN MX. Смогли найти только вот эту форму https://support.clean-mx.com/clean-mx/portals.php?response=alive&domain=msetup.pro но добиться в ней чего либо не удается. Регистрация внизу страницы не работает, на письма не отвечают.
Отдельная интересная история была обнаружена во время снятия метки Phishtank https://www.phishtank.com/phish_detail.php?phish_id=6048620
В данный момент в архиве Phishtank домен переименован на несуществующий http://m-setup.pro , но если спроосить google запросом "phishtank msetup.pro" видно в выдаче, что id репорта 6048620 изначально был на домен msetup.pro https://prnt.sc/nyct0z и создан репорт 20го мая.
Важно то, что репорт был создан пользователем зарегистрированным в тот же день и имеет всего один репорт на аккаунте. Кроме того на этом ресурсе подтвержеднием репортов занимаются пользователи, и в случае с доменом msetup.pro в списке подтвердивших были пользователи так же зарегистрированные в этот же день и имеющие юзернэймы собранные из случайных символов. Это приводит нас к выводу, что на наш домен было создано множество сфабрикованных репортов в антивирусные компании, тем более состояние домена по virustotal.com до 15 мая(в последний раз проверялся статус домена) было абсолютно чистым.
Вот сам софт MultiSetup https://www.virustotal.com/gui/file/b8c3866121b71c44fb52f965f6ee49188989850a4cda6627dae224aa71421218/detection
Решить вопрос метки с Dr.Web не представляется возможным, это их политика установки меток.
Вот примеры легитимного ПО которое имеет те же самые проблемы с Dr.Web:
uTorrent
https://www.virustotal.com/gui/file/5f4ad19af5d2dc9b9aedd94eb74077fec1a3ca7f677ae59c4879fe70827420ad/detection
BitTorrent
https://www.virustotal.com/gui/file/f40ac469b961a918627e4154ef942da3533dcfdd15d63ae8c9c1465d1e912350/detection
Auslogics BoostSpeed
https://www.virustotal.com/gui/file/438ebc8237fa035d0d933e2f3cc2952b6a2c5038a560462dc862ba8a35f47d6b/detection
Список на самом деле очень большой, тут приведены те кто первыми на глаза попались.
На данный момент не удается получить ответ от:
1. BitDefender. Приходят только автоматические ответы о том, что запрос принят в обработку, но за 2 недели не было вердикта
2. CLEAN MX. Смогли найти только вот эту форму https://support.clean-mx.com/clean-mx/portals.php?response=alive&domain=msetup.pro но добиться в ней чего либо не удается. Регистрация внизу страницы не работает, на письма не отвечают.
Отдельная интересная история была обнаружена во время снятия метки Phishtank https://www.phishtank.com/phish_detail.php?phish_id=6048620
В данный момент в архиве Phishtank домен переименован на несуществующий http://m-setup.pro , но если спроосить google запросом "phishtank msetup.pro" видно в выдаче, что id репорта 6048620 изначально был на домен msetup.pro https://prnt.sc/nyct0z и создан репорт 20го мая.
Важно то, что репорт был создан пользователем зарегистрированным в тот же день и имеет всего один репорт на аккаунте. Кроме того на этом ресурсе подтвержеднием репортов занимаются пользователи, и в случае с доменом msetup.pro в списке подтвердивших были пользователи так же зарегистрированные в этот же день и имеющие юзернэймы собранные из случайных символов. Это приводит нас к выводу, что на наш домен было создано множество сфабрикованных репортов в антивирусные компании, тем более состояние домена по virustotal.com до 15 мая(в последний раз проверялся статус домена) было абсолютно чистым.
Вот сам софт MultiSetup https://www.virustotal.com/gui/file/b8c3866121b71c44fb52f965f6ee49188989850a4cda6627dae224aa71421218/detection
Решить вопрос метки с Dr.Web не представляется возможным, это их политика установки меток.
Вот примеры легитимного ПО которое имеет те же самые проблемы с Dr.Web:
uTorrent
https://www.virustotal.com/gui/file/5f4ad19af5d2dc9b9aedd94eb74077fec1a3ca7f677ae59c4879fe70827420ad/detection
BitTorrent
https://www.virustotal.com/gui/file/f40ac469b961a918627e4154ef942da3533dcfdd15d63ae8c9c1465d1e912350/detection
Auslogics BoostSpeed
https://www.virustotal.com/gui/file/438ebc8237fa035d0d933e2f3cc2952b6a2c5038a560462dc862ba8a35f47d6b/detection
Список на самом деле очень большой, тут приведены те кто первыми на глаза попались.
Ресурс
msetup.pro
был заблокирован в связи с заведомым введением пользователей в заблуждение относительно скачиваемого софта. Это обман, мошенничество в чистом виде. Вместо тех же Skype или WinRAR - загружается exe-файл, где может быть запаковано что угодно, от рекламного и шпионского ПО, до вирусного, при этом он имеет цифровую подпись рекламной компании nbzspb.ru
. Создание временной сборки, которая пройдёт проверку на безопасность, никак не влияет на изначальный принцип данного вида мошенничества. К тому же, msetup.pro
ещё и занимается распространением этого софта, размещая его на сторонних ресурсах в качестве фейковой кнопки скачивания. Не вижу ни одной причины для разблокировки домена.Если дудлы утомили - Google No Doodles
Спасибо за ответ >
Ваша позиция ясна и имеет под собой ряд прецедентов и опыт прошлых событий в рунете.
С самого начала разработки MultiSetup, мы следим за тем что происходит на рынке download тематики в рунете и на моей памяти есть как минимум случай когда имитировалась рекламная кампания вивальди браузера, которая не имела отношения к разработчикам и распространяла майнер. Мы тогда решили заняться анализом их инсталлятора, в результате потребовался месяц ожидания, чтобы их софт скомпрометировал себя и установил майнер.
Кроме того было проанализированно большое количество загрузчиков\врапперов\торрент клиентов-загрузчиков, весь этот опыт использован чтобы сделать наш продукт максимально прозрачным, безопасным и понятным.
Теперь про MultiSetup.
1. Кампания nbz имеет прямое отношение к продукту, это не подставная компания сделанная ради ЭЦП, как делают все scam'еры. MultiSetup выпущен под ЭЦП "OOO, NBZ", это уже второй выпуск цифровой подписи, так как прошлый сертификат закончился по сроку действия, это значит что мы уже год работаем от собственного юридического лица и будем продолжать это делать.
2. Все загружаемые программы проверяются, на первом этапе на virustotal.com, если файл имеет метки, как utorrent например, то проводится ручной анализ. Если контрольная сумма файла еще неизвестна virustotal'у, то он не может считаться доверительным, обычно это признак генерик троянов даже если ни один АВ на virustotal его не пометил. Проверяется цепочка VTGraph, чтобы отследить связи с возможными вредоносами.
3. Многие ресурсы на которых размещают софт, не проверяют, что они отдают пользователям, во многих случаях репаки и прочие ломанные программы несут в себе вредоносную нагрузку, а из-за большого размера файла они успешно проходят мимо анализа АВ. В нашем случае устновщик проверен и не причинит вреда компьютеру пользователя. Тут есть свои минусы, мы не можем предложить пользователю разные версии ПО, у нас присутствует только одна стабильная версия программы на наименование(исключения только когда речь заходит о разной разрядности ПО х86 или х64, в этом случае будет два отдельных наименования). На текущий момент мы тратим 12-14TB трафика в сутки, чтобы стабильно доносить до пользователей выбранное ПО. Кнопки на сайтах не являются фейковыми, они носят рекомендательный характер и он не является обманом, скачав по ним файл, будет предложена к установке та программа, которую пользователь искал. Это будет работоспособная версия без вредоносной нагрузки, значительно безопаснее, чем качать с торрентов.
4. Мы никак не заинтересованы в том, чтобы подсунуть пользователю какие-либо вредоносы под видом программы которую он хотел поставить. Мы создали честный продукт на долгосрочную перспективу. Внимательно следим за способами его распространения и методами использования. Кроме того, мы добавили самозащиту в MultiSetup, чтобы он не мог быть запущен если был модифицирован. Последний релиз версии 1.1.9 был сделан 7го мая и на текущий момент отдано более 1,5 миллиона экземпляров, на таком объеме любой антивирус соберет достаточное количество статистики и данных чтобы принять решение, это косвенно показывает, что и файлы которые загружаются в процессе являются безопасными. Так же надо отметить, что MultiSetup не производит ни единого действия без ведома пользователя, что в значительной мере защищает пользователя от неосознанных действий в процессе работы. В MultiSetup отстутствуют какие-либо механизмы для сохранения своей активности в системе, нет автозапусков или задач в планировщике, запуск производится исключительно пользователем.
С самого начала разработки MultiSetup, мы следим за тем что происходит на рынке download тематики в рунете и на моей памяти есть как минимум случай когда имитировалась рекламная кампания вивальди браузера, которая не имела отношения к разработчикам и распространяла майнер. Мы тогда решили заняться анализом их инсталлятора, в результате потребовался месяц ожидания, чтобы их софт скомпрометировал себя и установил майнер.
Кроме того было проанализированно большое количество загрузчиков\врапперов\торрент клиентов-загрузчиков, весь этот опыт использован чтобы сделать наш продукт максимально прозрачным, безопасным и понятным.
Теперь про MultiSetup.
1. Кампания nbz имеет прямое отношение к продукту, это не подставная компания сделанная ради ЭЦП, как делают все scam'еры. MultiSetup выпущен под ЭЦП "OOO, NBZ", это уже второй выпуск цифровой подписи, так как прошлый сертификат закончился по сроку действия, это значит что мы уже год работаем от собственного юридического лица и будем продолжать это делать.
2. Все загружаемые программы проверяются, на первом этапе на virustotal.com, если файл имеет метки, как utorrent например, то проводится ручной анализ. Если контрольная сумма файла еще неизвестна virustotal'у, то он не может считаться доверительным, обычно это признак генерик троянов даже если ни один АВ на virustotal его не пометил. Проверяется цепочка VTGraph, чтобы отследить связи с возможными вредоносами.
3. Многие ресурсы на которых размещают софт, не проверяют, что они отдают пользователям, во многих случаях репаки и прочие ломанные программы несут в себе вредоносную нагрузку, а из-за большого размера файла они успешно проходят мимо анализа АВ. В нашем случае устновщик проверен и не причинит вреда компьютеру пользователя. Тут есть свои минусы, мы не можем предложить пользователю разные версии ПО, у нас присутствует только одна стабильная версия программы на наименование(исключения только когда речь заходит о разной разрядности ПО х86 или х64, в этом случае будет два отдельных наименования). На текущий момент мы тратим 12-14TB трафика в сутки, чтобы стабильно доносить до пользователей выбранное ПО. Кнопки на сайтах не являются фейковыми, они носят рекомендательный характер и он не является обманом, скачав по ним файл, будет предложена к установке та программа, которую пользователь искал. Это будет работоспособная версия без вредоносной нагрузки, значительно безопаснее, чем качать с торрентов.
4. Мы никак не заинтересованы в том, чтобы подсунуть пользователю какие-либо вредоносы под видом программы которую он хотел поставить. Мы создали честный продукт на долгосрочную перспективу. Внимательно следим за способами его распространения и методами использования. Кроме того, мы добавили самозащиту в MultiSetup, чтобы он не мог быть запущен если был модифицирован. Последний релиз версии 1.1.9 был сделан 7го мая и на текущий момент отдано более 1,5 миллиона экземпляров, на таком объеме любой антивирус соберет достаточное количество статистики и данных чтобы принять решение, это косвенно показывает, что и файлы которые загружаются в процессе являются безопасными. Так же надо отметить, что MultiSetup не производит ни единого действия без ведома пользователя, что в значительной мере защищает пользователя от неосознанных действий в процессе работы. В MultiSetup отстутствуют какие-либо механизмы для сохранения своей активности в системе, нет автозапусков или задач в планировщике, запуск производится исключительно пользователем.
Введение пользователя в заблуждение - это обман, мошенничество. Продвижение софта с помощью фейковых кнопок само по себе отвратительно, а когда ещё вместо браузера, как это обычно бывает в таких случаях (но что всегда очевидно для пользователя), скачивается exe-шник под видом торрента или приложения, это не может получить никакую другую классификацию. И даже на своём собственном сайте вы загружаете exe-шник под видом искомого юзером софта. Вся ваша схема построена на обмане. Никто никогда не будет скачивать ваш софт, если будет иметь представление о том, что именно он собой представляет. И вы всячески пытаетесь мимикрировать под то, что пользователю действительно нужно.
Если дудлы утомили - Google No Doodles
09.06.19 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
best-torrent.net
Если дудлы утомили - Google No Doodles
28.06.19 Заблокированы домены:
best-torrent.net
- в связи с рецидивомЕсли дудлы утомили - Google No Doodles