Блокировка ресурсов, продвигающих вредоносное ПО

Russian supplemental subscription

Moderators: EasyList Authors, RU AdList Mods

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Блокировка ресурсов, продвигающих вредоносное ПО

Post by dimisa » Sat Mar 03, 2018 3:01 pm

С момента появления настоящего анонса, всем ресурсам, замеченным в намеренном продвижении вредоносного ПО, будет направляться уведомление о данном факте. В уведомлении будут присутствовать отчёты антивирусной проверки продвигаемых файлов и предупреждение, что в случае отказа от продвижения вредоносного ПО и обхода блокировки кнопки, ведущей к его скачиванию - ресурс будет заблокирован, а в соответствующий сервис Google - направлен репорт. Блокировка и направление репорта будут производится в течении 3 суток со дня направления уведомления.

С наиболее часто встречающимися примерами подобного продвижении можно ознакомится в теме: Блокировка левых браузеров и фейковых кнопок скачивания. Речь идёт о фейковых кнопках скачивания, приводящих к загрузке файлов типа "lite_bundle.exe".

Проверка проводится с помощью:
https://www.virustotal.com/
Дополнительный контроль:
https://online.drweb.com/
Пример кнопкиShow
Image
Пример проведённой проверки продвигаемого файла (softportal.com).

Для исключения ресурса из "чёрного списка" потребуется устранить причину, повлекшую его добавление в оный.
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Sat Mar 03, 2018 7:10 pm

03.03.2018 Уведомлены и находятся в зоне риска:

Code: Select all

alleng.ru
10torrent.net
4torrentgames.net
best-torrentor.ru
dugtor.ru
failovik.com
fasttorrent.ru
fast-torrent.ru
filmitorrent.org
freetotalsoft.com
gmt-max.net
katushka.top
kinotrek.co
kritka.su
rusbitor.ru
softportal.com
torrent2games.net
torrentum.net
torrent-games.net
torrent-igri.com
v-torrente.ru
yangteacher.ru
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Tue Mar 06, 2018 4:39 pm

Итак, давайте попробуем разобраться, что из себя представляет браузер, инсталлируемый файлом "lite_bundle.exe", продвижением которого занимается offergate.pro. Начать следует с того, как обычно подаётся это ПО непосредственно пользователю.
SpoilerShow
Image
Как видно из скрина выше, самыми большим и заметным элементом кнопки является надпись "скачать бесплатно", а дописка про "медиа обозреватель" сделана в стороне, мельчайшим шрифтом бледно-серого цвета. Логитипы, свидетельствующие о принадлежности к какому-либо бренду - отсутствуют. Размещаются кнопки, как правило, на страницах скачивания файлов, которые на самом деле интересуют посетивщих ресурс пользователей.

При проверке "lite_bundle.exe" с помощью сервиса Google, VirusTotal (более 60 антивирусных движков), даёт следующую картину:
https://www.virustotal.com/#/file/b7b9ade6bb27ea6ac23e9373a2a1b32f86c4b5d9c0643f3d7341c8555fe2396d/detection
По мнению специалистов VirusTotal, до 10 положительных совпадений вполне можно отнести к ложным срабатываниям, однако здесь их более 30. Дополнительная проверка сервисом Dr.Web подтверждает, что файл заражён.
SpoilerShow
Image
А вот Kaspersky, считывая цифровой сертификат от "LLC Mail.Ru", который:
- Подтверждает, что программное обеспечение получено от конкретного издателя;
- Защищает программное обеспечение от изменения после его публикации;
И цифровой от "Symantec Time Stamping Services Signer - G4", который:
- Включает в подпись данных текущее время;
... считает, это файл чист. Но это проверка одним-единственным движком, которая толком не проводится, а останавливается на сверке цифрового сертификата.

Поскольку загрузка этого ПО осуществляется с доменов-однодневок, для борьбы с его продвижением было принято решение о блокировке ресурсов, непосредственно на которых размещается сама кнопка.

После появления настоящего топика и отправки уведомлений участвовавшим в продвижении "lite_bundle.exe" ресурсам, от offergate.pro было получено письмо со следующего содержания:
Письмо от offergate.proShow
Добрый день!

Касательно Вашего решения, по блокировке сайтов, раздающих ПО кампании
mail.ru, хотелось бы получить пояснения, чем руководствуется Ваше
решение, о том, что данный софт является вредоносным?
Если руководствоваться только отчетами virustotal, то данное решение не
совсем корректно.

Данная проверка,
https://www.virustotal.com/#/file/b7b9a ... /detection
говорит о том, что большинство крупных антивирусов не реагирует на файл,
как на вирус. Показанные же тут детекты имеют только информационный
характер о том, что файл "potentially unwanted", что не является
предупреждением о вредоносном файле.
Часть детектов являются “false positive”. Вскоре после обращения на
перепроверку файла в АВ, они пропадают.
Что еще необходимо рассмотреть:
Браузер Lite подписан цифровой подписью компании Mail.Ru Group. На
лендинг странице присутствует подробное описание ПО и ссылки на
лицензионные соглашение каждого из компонентов.
https://help.mail.ru/legal/lite-eula
https://help.mail.ru/legal/exts-eula
http://rutube.ru/info/agreement
http://getoneclick.ru/license

Программное обеспечение полностью соответствует политикам в отношении
программного обеспечения. А именно:
https://www.google.com/about/unwanted-s ... olicy.html
https://support.avast.com/en-ww/article/228/
https://www.cs-alliance.org/guidelines
https://yandex.ru/company/rules/distribution/

Кроме того, распространение вредоносных файлов является уголовным
преступлением в Российской Федерации. Утверждая, что файл установщика ПО
от mail.ru является вредоносным Вы должны подтвердить это более весомыми
фактами, чем детекты на virustotal, как минимум - решением суда.

Хотелось бы заметить, что любой блокировщик рекламы, имеет задачу
блокировать рекламу, а не сайт целиком. Если пользователь данной
программы хочет зайти на сайт, который Вы блокируете целиком, то ему
вероятно, придется отключить блокировщик, что негативно скажется на
количестве пользователей данного софта.
Убедительно просим, принять к сведению приведенные выше факты, при
реализации Вашего решения.

С Уважением, администрация партнерской программы OfferGate.pro
Однако тесты других аналогичных файлов теорию про "false positive" не подтверждают.
OperaShow
https://www.virustotal.com/#/file/40f4486a473c962831da0597050ff9440dc94b0e25f32fa39a75d9841c34a602/detection
Image
YandexShow
https://www.virustotal.com/#/file/ad5ee9fd7a2138adeb70911a9d7cc0345d2b241b6260fef22ebc72ae845a297c/detection
Image
Punto SwitcherShow
https://www.virustotal.com/#/file/50cbc797c4a100ca24b36648de2655dd1620ee9e7b481aa9a5fee96283eef366/detection
Image
Также не подтверждают принадлежность offergate.pro к mail.ru и представители mail.ru. Они коммуницируют между собой, но судя по всему, offergate.pro структурным подразделением mail.ru не является.

Реакция представителя offergate.pro:
Ни троянов, ни adware там нет. Там есть программы, которые устанавливаются с разрешения пользователя (через флажки в офере). Антивирусы всегда реагировали на наш лончер/установщик. Но то, что они пишут, что там внутри вирусы, еще не значит, что они там есть. С этой антивирусной "истерикой" мы живем все годы существования дистрибуции. Заблокируют – изменим лончер и/или состав продуктов. Полностью выйти из детектов невозможно. Можно только реагировать.
Как показывают примеры Opera, Yandex и Punto Switcher - выйти из детектов вполне возможно. Когда это произойдёт, практика блокирования учавствующих в продвижении доменов прекратится.

Реакция представителя mail.ru:
Ок, баньте эти и им подобные сайты. Посмотрим, может быть после этого отношение поменяется.
Создаётся впечатление, что mail.ru не нравится, что компания замешана в этой истории. Возможно именно по этой причине на кнопке скачивания и страницах загрузки "lite_bundle.exe" как раз отсутствует какое-либо брендирование, указывающее на mail.ru. Аналогичный продукт от yandex.ru своего лейбла не стесняется.

В настоящий момент, несмотря на уведомление, вывели из-под блокировки и продолжают продвижение "lite_bundle.exe" следующие ресурсы:

Code: Select all

freetotalsoft.com
v-torrente.ru
В 00-00 мск 07.03.2018 они будут заблокированы. Через 4 дня будут направлены репорт в Google. В дальнейшем обход блокировки кнопок, приводящих к загрузке "lite_bundle.exe", в тех случаях когда ресурсы были заранее уведомлены, будет приводить к блокировке доменов.
Если дудлы утомили - Google No Doodles

adblack
New Member
New Member
Posts: 1
Joined: Tue Mar 06, 2018 7:36 pm
Reputation: 1

Post by adblack » Tue Mar 06, 2018 7:44 pm

filmitorrent.org
Исключите из списка пожалуйста. Причина устранена.

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Tue Mar 06, 2018 9:00 pm

По состоянию на 00-00 мск 07.03.2018 не отказались продвижения/обхода блокировки только два ресурса.

freetotalsoft.com
https://hg.adblockplus.org/ruadlist/rev/9e23e24db437

v-torrente.ru
https://hg.adblockplus.org/ruadlist/rev/8b5a54014d4d
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Wed Mar 07, 2018 12:24 am

v-torrente.ru
Блокировка снята в связи с отказом от обхода:
https://hg.adblockplus.org/ruadlist/rev/d41106843562
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Thu Mar 08, 2018 8:36 am

08.03.2018 Уведомлены и находятся в зоне риска:
torrent-zone.ru
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Sat Mar 10, 2018 8:35 am

10.03.18 Уведомлены и находятся в зоне риска:
ximepa.net
game-torrento.org
freesoft.ru
libertycity.ru
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Sat Mar 10, 2018 10:27 pm

11.03.18 Уведомлены и находятся в зоне риска:
diakov.net
igritorrent.org
torrent9.org
Если дудлы утомили - Google No Doodles

diakovnet
New Member
New Member
Posts: 1
Joined: Sun Mar 11, 2018 6:32 am
Reputation: 0

Post by diakovnet » Sun Mar 11, 2018 6:34 am

Баннер распространяющий бандл ссылка на который была дана на вирус тотал в письме удален. Теперь все нормально?

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Mon Mar 12, 2018 11:28 am

12.03.18 Уведомлены и находятся в зоне риска:
n-torrents.ru
torrentor.org
torrent-world.ru
winstation.ru
top-torrent.ws
real-game.net
rutor.net
torrent10.ru
Если дудлы утомили - Google No Doodles

gendolf99
New Member
New Member
Posts: 7
Joined: Mon Mar 12, 2018 12:16 pm
Reputation: 0

Post by gendolf99 » Mon Mar 12, 2018 12:24 pm

Здравствуйте на torrent10.ru отключили обход блокировки. На torrent-world.ru нет обхода блокировки. Почему он в списке?

gendolf99
New Member
New Member
Posts: 7
Joined: Mon Mar 12, 2018 12:16 pm
Reputation: 0

Post by gendolf99 » Mon Mar 12, 2018 12:26 pm

На torrent-world.ru никакого уведомления не пришло.

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Mon Mar 12, 2018 12:31 pm

gendolf99 wrote:
Mon Mar 12, 2018 12:24 pm
Здравствуйте на torrent10.ru отключили обход блокировки. На torrent-world.ru нет обхода блокировки. Почему он в списке?
gendolf99 wrote:
Mon Mar 12, 2018 12:26 pm
На torrent-world.ru никакого уведомления не пришло.
Значит, так работает форма обратной связи. На torrent-world.ru кнопка ведёт на ubar-pro2.ru, а это совершенно новый домен, запущенный взамен заблокированного ранее.
Если дудлы утомили - Google No Doodles

gendolf99
New Member
New Member
Posts: 7
Joined: Mon Mar 12, 2018 12:16 pm
Reputation: 0

Post by gendolf99 » Mon Mar 12, 2018 12:36 pm

Я знать не знал, что там домен поменялся. Значит на torrent-world.ru кнопку убрали полностью теперь. Сайты torrent10.ru и torrent-world.ru убираете из списка?

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Mon Mar 12, 2018 12:38 pm

Конечно. Но в теме упоминания об уведомлениях остаются (для статистики).
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Tue Mar 13, 2018 4:41 pm

13.03.18 Уведомлены и находятся в зоне риска:
games-portal.ws
gig-torrent.ru
gighub.net
gvirt.com
putingamer.net - нет контактов
torrentigruha.net
vtorrents.net
Если дудлы утомили - Google No Doodles

Mente Oscura
New Member
New Member
Posts: 2
Joined: Wed Mar 14, 2018 12:20 pm
Reputation: 0

Post by Mente Oscura » Wed Mar 14, 2018 12:26 pm

torrent-world.ru
Снял одно, поставил другое (лайт браузер)
SpoilerShow
Image

logan344
Postaholic
Postaholic
Posts: 415
Joined: Sat Dec 02, 2017 11:12 am
Reputation: 3

Post by logan344 » Wed Mar 14, 2018 1:47 pm

Ахахахах, а зачем вы заменили одну фейк кнопку на другую? Авторы подписок уведомляют о том, что такие сайты которые вводят пользователей в заблуждение будут заблокированы если кнопки не будут убраны. А вы взяли и одну кнопку на другую заменили.

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Wed Mar 14, 2018 3:23 pm

Кнопку на torrent-world.ru скрыл, уведомление по данному случаю отправил.

Add
Просьба не мусорить тему обсуждениями и оставлять сообщения об обнаруженных случаях и рецидивах в теме: Блокировка левых браузеров и фейковых кнопок скачивания.
Если дудлы утомили - Google No Doodles

gendolf99
New Member
New Member
Posts: 7
Joined: Mon Mar 12, 2018 12:16 pm
Reputation: 0

Post by gendolf99 » Wed Mar 14, 2018 3:34 pm

Я не понял в чем претензия? adblock блокирует переход по кнопке на сайте torrent-world.ru, никакие методы обхода блокировки адблоком не применены.

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Wed Mar 14, 2018 3:46 pm

Переход блокируется "случайно", благодаря ранее добавленным в бан доменам загрузки этой пакости. Но они меняют их как перчатки, такая блокировка нестабильна. Будь по другому, ресурсы размещения никто бы не трогал. Поэтому наличие нескрытой кнопки черевато тем, что переход может заработать в любой момент.
Если дудлы утомили - Google No Doodles

gendolf99
New Member
New Member
Posts: 7
Joined: Mon Mar 12, 2018 12:16 pm
Reputation: 0

Post by gendolf99 » Wed Mar 14, 2018 3:57 pm

Я что-то не понял. На сайте torrent10.ru, например, кнопка скрывается. Так сделайте так же и на torrent-world.ru. C adblock кнопка не работает и я специально поставил такой домен, который adblock блокирует, чтобы выполнить вашу просьбу. Без моего ведома никто домен на кнопке поменять не может. Я считаю, что полностью выполнил вашу просьбу. Никаких методов обхода блокировки не применял в данном случае и не собираюсь.

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Wed Mar 14, 2018 4:07 pm

Всё в порядке. Скрытие этой кнопки я и упомянул выше. Просто нужно было уведомить о характере скрытия.
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Wed Mar 14, 2018 4:57 pm

14.03.18 Уведомлены и находятся в зоне риска:
rutorgames.org
rutorrent.co
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Thu Mar 15, 2018 2:32 pm

15.03.18 Уведомлены и находятся в зоне риска:
game-torrent.net
fast-torrent.co
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Thu Mar 15, 2018 4:46 pm

rusbitor.ru заблокирован в связи с обходом блокировки продвижения:
https://hg.adblockplus.org/ruadlist/rev/2ca4e35ebf13
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Thu Mar 15, 2018 9:04 pm

Снята блокировка с rusbitor.ru в связи с отказом от обхода скрытия кнопки загрузки вредоносного ПО:
https://hg.adblockplus.org/ruadlist/rev/1919e6314851
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Fri Mar 16, 2018 1:38 pm

16.03.18 Уведомлены и находятся в зоне риска:
utorrentgames.net
Если дудлы утомили - Google No Doodles

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 5161
Joined: Tue Dec 01, 2015 5:24 pm
Reputation: 208

Post by dimisa » Sat Mar 17, 2018 10:57 am

В связи с неоднократным обходом скрытия кнопки, приводящей к загрузке вредоносного ПО, домен torrent10.ru заблокирован.

17.03.18 Уведомлены и находятся в зоне риска:
igrigo.net
mega-trek.net
Если дудлы утомили - Google No Doodles

Post Reply