Блокировка ресурсов, продвигающих вредоносное ПО

Russian supplemental subscription

Moderator: RU AdList Mods

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

tron wrote: Mon Jul 02, 2018 2:22 pm
dimisa wrote: Sun Jul 01, 2018 6:02 pm 01.07.18 В связи с рецедивом заблокированы домены:
torrentgo.net
Репорт в соответствующий сервис Google будет направлен течении 3 суток.
Нарушения на сайте устранены
Ок, разблокировано, минут через 15 вступит в силу.
Если дудлы утомили - Google No Doodles
nalivayko
New Member
New Member
Posts: 5
Joined: Fri Jul 20, 2018 6:23 am

Post by nalivayko »

Здравствуйте. Мне нужно сменить домен рекламы на сайте из-за технических причин. (по которому мне давненько пришло письмо - обход блокировки кнопки, приводящей к скачиванию вредоносного ПО, приведёт к блокировке вашего домена.)
Можно ли сменить его и сразу внести в вашу базу? чтобы сайт санкций не получил.
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

Без указания доменов - вопрос ни о чём.
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

05.09.18 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
manytorrents.pro
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

22.09.18 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
filmitorrent.org
Если дудлы утомили - Google No Doodles
adblack
New Member
New Member
Posts: 9
Joined: Tue Mar 06, 2018 7:36 pm

Post by adblack »

dimisa wrote: Sat Sep 22, 2018 10:10 am 22.09.18 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
filmitorrent.org
Кнопка заменена на безопасное ПО от Яндкеса. Отчет, подтверждающий это: https://www.virustotal.com/#/file/7add9b431ca9972ab5b09d36bdd500429ecfae925a564870a11fa5cdb9b49285/detection
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

23.09.18 В связи с рецидивом заблокированы домены:
mega-trek.net
torrent-games.net
torrent-world.ru

Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
rutorgame.info

Add
Напоминаю, что в случае рецидива исключение из "черного списка" производится в течении 5 дней с момента устранения причины, повлёкшей в добавление в оный.
Если дудлы утомили - Google No Doodles
view
New Member
New Member
Posts: 2
Joined: Sun Sep 23, 2018 3:17 pm

Post by view »

Добрый вечер! torrent-games.net - ситуация исправлена. Более "вредоносного" продукта не раздается. Снимите пожалуйста блокировку с сайта.
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

Очевидно, рекламодатели "погорячились", подменив загружаемые файлы. Сейчас они везде вернулись к нормальному софту (яндекс-браузер). Блокировка снята с доменов:
mega-trek.net
torrent-games.net
torrent-world.ru
Но при выборе таких рекламодателей нужно иметь ввиду, чего от них можно ожидать и самим контролировать их работу. Их "ошибки" такого рода - на совести владельцев сайтов. При последующих рецидивах никаких поблажек в виде оперативной отмены блокировки уже не будет.
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

30.09.18 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
torrent-windows.net и другие их домены

Заблокированы в связи с рецедивом:
bestgamer.net
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

01.10.18 В связи с рецидивом заблокированы домены:
7themes.su
Если дудлы утомили - Google No Doodles
view
New Member
New Member
Posts: 2
Joined: Sun Sep 23, 2018 3:17 pm

Post by view »

dimisa wrote: Sun Sep 30, 2018 7:02 pm 30.09.18 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
torrent-windows.net и другие их домены

Заблокированы в связи с рецедивом:
bestgamer.net
В связи с рецидивом чего? Там не было никаких баннеров запрещенных Вами программ на момент блока. Ни Элементса, ни медиагета, ни юбара. За что блок?

Также как и на torrent-windows.net, кстати.
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

view wrote: Wed Oct 03, 2018 4:05 pmВ связи с рецидивом чего? Там не было никаких баннеров запрещенных Вами программ на момент блока. Ни Элементса, ни медиагета, ни юбара. За что блок?

Также как и на torrent-windows.net, кстати.
Вы это зачем написали? Нет сейчас - не означает, что этого не было на момент жалобы и проверки. У меня нет оснований не доверять своим глазам.

Напоминаю, что:
Для исключения ресурса из "чёрного списка" потребуется >
устранить причину, повлекшую его добавление в оный. В случае рецидива это делается через 5 дней с момента устранения. При повторном рецидиве - через месяц. Далее - вечная блокировка.
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

23.11.18 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
kinoframe.net
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

25.11.2018 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
softcatalog.info
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

29.11.18 В связи с рецидивом заблокированы домены:
kinoframe.net
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

18.12.18 Заблокированы домены:
rusbitor.ru - в связи с рецидивом
v-torrente.ru - в связи с рецидивом
softbesplatno.net - на сайте вообще нет файлов для скачивания, только вредоносное ПО
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

В связи с устранением причины блокировки и прошествии 5 дней с момента 1-го рецедива, rusbitor.ru разблокирован.
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

В связи с устранением причины блокировки softbesplatno.net разблокирован (с предупреждением).
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

02.01.19 Заблокированы домены:
winstation.ru - в связи с рецидивом
softbesplatno.net - в связи с рецидивом
Если дудлы утомили - Google No Doodles
Dmitry_IP
New Member
New Member
Posts: 5
Joined: Wed Nov 28, 2018 10:02 am

Post by Dmitry_IP »

Code: Select all

msetup.pro
Фишинговый сайт, нужно добавить в блэклист
http://joxi.ru/RmzXqvZiYOvypA
Размещается на софтовых порталах
http://joxi.ru/p2785gPCK5qnxA
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

@Dmitry_IP
Укажите пожалуйста адрес сайта со второго скрина.
Если дудлы утомили - Google No Doodles
Dmitry_IP
New Member
New Member
Posts: 5
Joined: Wed Nov 28, 2018 10:02 am

Post by Dmitry_IP »

dimisa wrote: Tue May 21, 2019 4:55 pm @Dmitry_IP
Укажите пожалуйста адрес сайта со второго скрина.
Здравствуйте. Сайт-download-windows.org
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

Ок, msetup.pro заблокирован.
Если дудлы утомили - Google No Doodles
MSetup
New Member
New Member
Posts: 2
Joined: Thu Jun 06, 2019 1:16 pm

Post by MSetup »

Добрый день
Ресурс msetup.pro не имеет никакого отношения к вредоносным сайтам или к вредоносному ПО >
Приведенные ранее детекты на virustotal.com были false-positive, ответственные антивирусные компании были уведомлены и в последствии сняли свои метки и добавили доменное имя в white list (https://www.virustotal.com/gui/url/34908e357459c3ae2c876971b018aa820acbfd113bb40a910101308f036da115/detection)
На данный момент не удается получить ответ от:
1. BitDefender. Приходят только автоматические ответы о том, что запрос принят в обработку, но за 2 недели не было вердикта
2. CLEAN MX. Смогли найти только вот эту форму https://support.clean-mx.com/clean-mx/portals.php?response=alive&domain=msetup.pro но добиться в ней чего либо не удается. Регистрация внизу страницы не работает, на письма не отвечают.

Отдельная интересная история была обнаружена во время снятия метки Phishtank https://www.phishtank.com/phish_detail.php?phish_id=6048620
В данный момент в архиве Phishtank домен переименован на несуществующий http://m-setup.pro , но если спроосить google запросом "phishtank msetup.pro" видно в выдаче, что id репорта 6048620 изначально был на домен msetup.pro https://prnt.sc/nyct0z и создан репорт 20го мая.
Важно то, что репорт был создан пользователем зарегистрированным в тот же день и имеет всего один репорт на аккаунте. Кроме того на этом ресурсе подтвержеднием репортов занимаются пользователи, и в случае с доменом msetup.pro в списке подтвердивших были пользователи так же зарегистрированные в этот же день и имеющие юзернэймы собранные из случайных символов. Это приводит нас к выводу, что на наш домен было создано множество сфабрикованных репортов в антивирусные компании, тем более состояние домена по virustotal.com до 15 мая(в последний раз проверялся статус домена) было абсолютно чистым.

Вот сам софт MultiSetup https://www.virustotal.com/gui/file/b8c3866121b71c44fb52f965f6ee49188989850a4cda6627dae224aa71421218/detection
Решить вопрос метки с Dr.Web не представляется возможным, это их политика установки меток.
Вот примеры легитимного ПО которое имеет те же самые проблемы с Dr.Web:

uTorrent
https://www.virustotal.com/gui/file/5f4ad19af5d2dc9b9aedd94eb74077fec1a3ca7f677ae59c4879fe70827420ad/detection

BitTorrent
https://www.virustotal.com/gui/file/f40ac469b961a918627e4154ef942da3533dcfdd15d63ae8c9c1465d1e912350/detection

Auslogics BoostSpeed
https://www.virustotal.com/gui/file/438ebc8237fa035d0d933e2f3cc2952b6a2c5038a560462dc862ba8a35f47d6b/detection

Список на самом деле очень большой, тут приведены те кто первыми на глаза попались.
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

Ресурс msetup.pro был заблокирован в связи с заведомым введением пользователей в заблуждение относительно скачиваемого софта. Это обман, мошенничество в чистом виде. Вместо тех же Skype или WinRAR - загружается exe-файл, где может быть запаковано что угодно, от рекламного и шпионского ПО, до вирусного, при этом он имеет цифровую подпись рекламной компании nbzspb.ru. Создание временной сборки, которая пройдёт проверку на безопасность, никак не влияет на изначальный принцип данного вида мошенничества. К тому же, msetup.pro ещё и занимается распространением этого софта, размещая его на сторонних ресурсах в качестве фейковой кнопки скачивания. Не вижу ни одной причины для разблокировки домена.
Если дудлы утомили - Google No Doodles
MSetup
New Member
New Member
Posts: 2
Joined: Thu Jun 06, 2019 1:16 pm

Post by MSetup »

Спасибо за ответ >
Ваша позиция ясна и имеет под собой ряд прецедентов и опыт прошлых событий в рунете.

С самого начала разработки MultiSetup, мы следим за тем что происходит на рынке download тематики в рунете и на моей памяти есть как минимум случай когда имитировалась рекламная кампания вивальди браузера, которая не имела отношения к разработчикам и распространяла майнер. Мы тогда решили заняться анализом их инсталлятора, в результате потребовался месяц ожидания, чтобы их софт скомпрометировал себя и установил майнер.
Кроме того было проанализированно большое количество загрузчиков\врапперов\торрент клиентов-загрузчиков, весь этот опыт использован чтобы сделать наш продукт максимально прозрачным, безопасным и понятным.

Теперь про MultiSetup.
1. Кампания nbz имеет прямое отношение к продукту, это не подставная компания сделанная ради ЭЦП, как делают все scam'еры. MultiSetup выпущен под ЭЦП "OOO, NBZ", это уже второй выпуск цифровой подписи, так как прошлый сертификат закончился по сроку действия, это значит что мы уже год работаем от собственного юридического лица и будем продолжать это делать.

2. Все загружаемые программы проверяются, на первом этапе на virustotal.com, если файл имеет метки, как utorrent например, то проводится ручной анализ. Если контрольная сумма файла еще неизвестна virustotal'у, то он не может считаться доверительным, обычно это признак генерик троянов даже если ни один АВ на virustotal его не пометил. Проверяется цепочка VTGraph, чтобы отследить связи с возможными вредоносами.

3. Многие ресурсы на которых размещают софт, не проверяют, что они отдают пользователям, во многих случаях репаки и прочие ломанные программы несут в себе вредоносную нагрузку, а из-за большого размера файла они успешно проходят мимо анализа АВ. В нашем случае устновщик проверен и не причинит вреда компьютеру пользователя. Тут есть свои минусы, мы не можем предложить пользователю разные версии ПО, у нас присутствует только одна стабильная версия программы на наименование(исключения только когда речь заходит о разной разрядности ПО х86 или х64, в этом случае будет два отдельных наименования). На текущий момент мы тратим 12-14TB трафика в сутки, чтобы стабильно доносить до пользователей выбранное ПО. Кнопки на сайтах не являются фейковыми, они носят рекомендательный характер и он не является обманом, скачав по ним файл, будет предложена к установке та программа, которую пользователь искал. Это будет работоспособная версия без вредоносной нагрузки, значительно безопаснее, чем качать с торрентов.

4. Мы никак не заинтересованы в том, чтобы подсунуть пользователю какие-либо вредоносы под видом программы которую он хотел поставить. Мы создали честный продукт на долгосрочную перспективу. Внимательно следим за способами его распространения и методами использования. Кроме того, мы добавили самозащиту в MultiSetup, чтобы он не мог быть запущен если был модифицирован. Последний релиз версии 1.1.9 был сделан 7го мая и на текущий момент отдано более 1,5 миллиона экземпляров, на таком объеме любой антивирус соберет достаточное количество статистики и данных чтобы принять решение, это косвенно показывает, что и файлы которые загружаются в процессе являются безопасными. Так же надо отметить, что MultiSetup не производит ни единого действия без ведома пользователя, что в значительной мере защищает пользователя от неосознанных действий в процессе работы. В MultiSetup отстутствуют какие-либо механизмы для сохранения своей активности в системе, нет автозапусков или задач в планировщике, запуск производится исключительно пользователем.
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

Введение пользователя в заблуждение - это обман, мошенничество. Продвижение софта с помощью фейковых кнопок само по себе отвратительно, а когда ещё вместо браузера, как это обычно бывает в таких случаях (но что всегда очевидно для пользователя), скачивается exe-шник под видом торрента или приложения, это не может получить никакую другую классификацию. И даже на своём собственном сайте вы загружаете exe-шник под видом искомого юзером софта. Вся ваша схема построена на обмане. Никто никогда не будет скачивать ваш софт, если будет иметь представление о том, что именно он собой представляет. И вы всячески пытаетесь мимикрировать под то, что пользователю действительно нужно.
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

09.06.19 Уведомлены, что в случае обхода скрытия кнопки, будут заблокированы:
best-torrent.net
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9792
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

28.06.19 Заблокированы домены:
best-torrent.net - в связи с рецидивом
Если дудлы утомили - Google No Doodles
Post Reply