Блокировка ресурсов, продвигающих вредоносное ПО

Russian supplemental subscription

Moderator: RU AdList Mods

User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Блокировка ресурсов, продвигающих вредоносное ПО

Post by dimisa »

С момента появления настоящего анонса, всем ресурсам, замеченным в намеренном продвижении вредоносного ПО, будет направляться уведомление о данном факте. В уведомлении будут присутствовать отчёты антивирусной проверки продвигаемых файлов и предупреждение, что в случае отказа от продвижения вредоносного ПО и обхода блокировки кнопки, ведущей к его скачиванию - ресурс будет заблокирован, а в соответствующий сервис Google - направлен репорт. Блокировка и направление репорта будут производится в течении 3 суток со дня направления уведомления.

С наиболее часто встречающимися примерами подобного продвижении можно ознакомится в теме: Блокировка левых браузеров и фейковых кнопок скачивания. Речь идёт о фейковых кнопках скачивания, приводящих к загрузке файлов типа "lite_bundle.exe".

Проверка проводится с помощью:
https://www.virustotal.com/

Пример кнопки

Image

Пример проведённой проверки продвигаемого файла (softportal.com).

Вредоносность ПО определяется в первую очередь его фактическим поведением при установке. Если её сценарий по-умолчанию подразумевает активацию трекинга, рекламы, троянов и пр, либо отсутствует линейная схема, предусматривающая намеренные действия пользователя для активации всего этого, ПО автоматом квалифицируется как вредоносное. Проверка на virustotal это лишь дополнительное подтверждение вредоносности.

Для исключения ресурса из "чёрного списка" потребуется устранить причину, повлекшую его добавление в оный. В случае рецидива это делается через 5 дней с момента устранения. При повторном рецидиве - через месяц. Далее - вечная блокировка.

Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

03.03.2018 Уведомлены и находятся в зоне риска:

Code: Select all

alleng.ru
10torrent.net
4torrentgames.net
best-torrentor.ru
dugtor.ru
failovik.com
fasttorrent.ru
fast-torrent.ru
filmitorrent.org
freetotalsoft.com
gmt-max.net
katushka.top
kinotrek.co
kritka.su
rusbitor.ru
softportal.com
torrent2games.net
torrentum.net
torrent-games.net
torrent-igri.com
v-torrente.ru
yangteacher.ru
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

Итак, давайте попробуем разобраться, что из себя представляет браузер, инсталлируемый файлом "lite_bundle.exe", продвижением которого занимается offergate.pro. Начать следует с того, как обычно подаётся это ПО непосредственно пользователю.
Spoiler
Image
Как видно из скрина выше, самыми большим и заметным элементом кнопки является надпись "скачать бесплатно", а дописка про "медиа обозреватель" сделана в стороне, мельчайшим шрифтом бледно-серого цвета. Логитипы, свидетельствующие о принадлежности к какому-либо бренду - отсутствуют. Размещаются кнопки, как правило, на страницах скачивания файлов, которые на самом деле интересуют посетивщих ресурс пользователей.

При проверке "lite_bundle.exe" с помощью сервиса Google, VirusTotal (более 60 антивирусных движков), даёт следующую картину:
https://www.virustotal.com/#/file/b7b9ade6bb27ea6ac23e9373a2a1b32f86c4b5d9c0643f3d7341c8555fe2396d/detection
По мнению специалистов VirusTotal, до 10 положительных совпадений вполне можно отнести к ложным срабатываниям, однако здесь их более 30. Дополнительная проверка сервисом Dr.Web подтверждает, что файл заражён.
Spoiler
Image
А вот Kaspersky, считывая цифровой сертификат от "LLC Mail.Ru", который:
- Подтверждает, что программное обеспечение получено от конкретного издателя;
- Защищает программное обеспечение от изменения после его публикации;
И цифровой от "Symantec Time Stamping Services Signer - G4", который:
- Включает в подпись данных текущее время;
... считает, это файл чист. Но это проверка одним-единственным движком, которая толком не проводится, а останавливается на сверке цифрового сертификата.

Поскольку загрузка этого ПО осуществляется с доменов-однодневок, для борьбы с его продвижением было принято решение о блокировке ресурсов, непосредственно на которых размещается сама кнопка.

После появления настоящего топика и отправки уведомлений участвовавшим в продвижении "lite_bundle.exe" ресурсам, от offergate.pro было получено письмо со следующего содержания:
Письмо от offergate.pro
Добрый день!

Касательно Вашего решения, по блокировке сайтов, раздающих ПО кампании
mail.ru, хотелось бы получить пояснения, чем руководствуется Ваше
решение, о том, что данный софт является вредоносным?
Если руководствоваться только отчетами virustotal, то данное решение не
совсем корректно.

Данная проверка,
https://www.virustotal.com/#/file/b7b9a ... /detection
говорит о том, что большинство крупных антивирусов не реагирует на файл,
как на вирус. Показанные же тут детекты имеют только информационный
характер о том, что файл "potentially unwanted", что не является
предупреждением о вредоносном файле.
Часть детектов являются “false positive”. Вскоре после обращения на
перепроверку файла в АВ, они пропадают.
Что еще необходимо рассмотреть:
Браузер Lite подписан цифровой подписью компании Mail.Ru Group. На
лендинг странице присутствует подробное описание ПО и ссылки на
лицензионные соглашение каждого из компонентов.
https://help.mail.ru/legal/lite-eula
https://help.mail.ru/legal/exts-eula
http://rutube.ru/info/agreement
http://getoneclick.ru/license

Программное обеспечение полностью соответствует политикам в отношении
программного обеспечения. А именно:
https://www.google.com/about/unwanted-s ... olicy.html
https://support.avast.com/en-ww/article/228/
https://www.cs-alliance.org/guidelines
https://yandex.ru/company/rules/distribution/

Кроме того, распространение вредоносных файлов является уголовным
преступлением в Российской Федерации. Утверждая, что файл установщика ПО
от mail.ru является вредоносным Вы должны подтвердить это более весомыми
фактами, чем детекты на virustotal, как минимум - решением суда.

Хотелось бы заметить, что любой блокировщик рекламы, имеет задачу
блокировать рекламу, а не сайт целиком. Если пользователь данной
программы хочет зайти на сайт, который Вы блокируете целиком, то ему
вероятно, придется отключить блокировщик, что негативно скажется на
количестве пользователей данного софта.
Убедительно просим, принять к сведению приведенные выше факты, при
реализации Вашего решения.

С Уважением, администрация партнерской программы OfferGate.pro
Однако тесты других аналогичных файлов теорию про "false positive" не подтверждают.
Opera
https://www.virustotal.com/#/file/40f4486a473c962831da0597050ff9440dc94b0e25f32fa39a75d9841c34a602/detection
Image
Yandex
https://www.virustotal.com/#/file/ad5ee9fd7a2138adeb70911a9d7cc0345d2b241b6260fef22ebc72ae845a297c/detection
Image
Punto Switcher
https://www.virustotal.com/#/file/50cbc797c4a100ca24b36648de2655dd1620ee9e7b481aa9a5fee96283eef366/detection
Image
Также не подтверждают принадлежность offergate.pro к mail.ru и представители mail.ru. Они коммуницируют между собой, но судя по всему, offergate.pro структурным подразделением mail.ru не является.

Реакция представителя offergate.pro:
Ни троянов, ни adware там нет. Там есть программы, которые устанавливаются с разрешения пользователя (через флажки в офере). Антивирусы всегда реагировали на наш лончер/установщик. Но то, что они пишут, что там внутри вирусы, еще не значит, что они там есть. С этой антивирусной "истерикой" мы живем все годы существования дистрибуции. Заблокируют – изменим лончер и/или состав продуктов. Полностью выйти из детектов невозможно. Можно только реагировать.
Как показывают примеры Opera, Yandex и Punto Switcher - выйти из детектов вполне возможно. Когда это произойдёт, практика блокирования учавствующих в продвижении доменов прекратится.

Реакция представителя mail.ru:
Ок, баньте эти и им подобные сайты. Посмотрим, может быть после этого отношение поменяется.
Создаётся впечатление, что mail.ru не нравится, что компания замешана в этой истории. Возможно именно по этой причине на кнопке скачивания и страницах загрузки "lite_bundle.exe" как раз отсутствует какое-либо брендирование, указывающее на mail.ru. Аналогичный продукт от yandex.ru своего лейбла не стесняется.

В настоящий момент, несмотря на уведомление, вывели из-под блокировки и продолжают продвижение "lite_bundle.exe" следующие ресурсы:

Code: Select all

freetotalsoft.com
v-torrente.ru
В 00-00 мск 07.03.2018 они будут заблокированы. Через 4 дня будут направлены репорт в Google. В дальнейшем обход блокировки кнопок, приводящих к загрузке "lite_bundle.exe", в тех случаях когда ресурсы были заранее уведомлены, будет приводить к блокировке доменов.
Если дудлы утомили - Google No Doodles
adblack
New Member
New Member
Posts: 9
Joined: Tue Mar 06, 2018 7:36 pm

Post by adblack »

filmitorrent.org
Исключите из списка пожалуйста. Причина устранена.
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

По состоянию на 00-00 мск 07.03.2018 не отказались продвижения/обхода блокировки только два ресурса.

freetotalsoft.com
https://hg.adblockplus.org/ruadlist/rev/9e23e24db437

v-torrente.ru
https://hg.adblockplus.org/ruadlist/rev/8b5a54014d4d
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

v-torrente.ru
Блокировка снята в связи с отказом от обхода:
https://hg.adblockplus.org/ruadlist/rev/d41106843562
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

08.03.2018 Уведомлены и находятся в зоне риска:
torrent-zone.ru
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

10.03.18 Уведомлены и находятся в зоне риска:
ximepa.net
game-torrento.org
freesoft.ru
libertycity.ru
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

11.03.18 Уведомлены и находятся в зоне риска:
diakov.net
igritorrent.org
torrent9.org
Если дудлы утомили - Google No Doodles
diakovnet
New Member
New Member
Posts: 1
Joined: Sun Mar 11, 2018 6:32 am

Post by diakovnet »

Баннер распространяющий бандл ссылка на который была дана на вирус тотал в письме удален. Теперь все нормально?
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

12.03.18 Уведомлены и находятся в зоне риска:
n-torrents.ru
torrentor.org
torrent-world.ru
winstation.ru
top-torrent.ws
real-game.net
rutor.net
torrent10.ru
Если дудлы утомили - Google No Doodles
gendolf99
New Member
New Member
Posts: 7
Joined: Mon Mar 12, 2018 12:16 pm

Post by gendolf99 »

Здравствуйте на torrent10.ru отключили обход блокировки. На torrent-world.ru нет обхода блокировки. Почему он в списке?
gendolf99
New Member
New Member
Posts: 7
Joined: Mon Mar 12, 2018 12:16 pm

Post by gendolf99 »

На torrent-world.ru никакого уведомления не пришло.
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

gendolf99 wrote: Mon Mar 12, 2018 12:24 pm Здравствуйте на torrent10.ru отключили обход блокировки. На torrent-world.ru нет обхода блокировки. Почему он в списке?
gendolf99 wrote: Mon Mar 12, 2018 12:26 pm На torrent-world.ru никакого уведомления не пришло.
Значит, так работает форма обратной связи. На torrent-world.ru кнопка ведёт на ubar-pro2.ru, а это совершенно новый домен, запущенный взамен заблокированного ранее.
Если дудлы утомили - Google No Doodles
gendolf99
New Member
New Member
Posts: 7
Joined: Mon Mar 12, 2018 12:16 pm

Post by gendolf99 »

Я знать не знал, что там домен поменялся. Значит на torrent-world.ru кнопку убрали полностью теперь. Сайты torrent10.ru и torrent-world.ru убираете из списка?
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

Конечно. Но в теме упоминания об уведомлениях остаются (для статистики).
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

13.03.18 Уведомлены и находятся в зоне риска:
games-portal.ws
gig-torrent.ru
gighub.net
gvirt.com
putingamer.net - нет контактов
torrentigruha.net
vtorrents.net
Если дудлы утомили - Google No Doodles
Mente Oscura
New Member
New Member
Posts: 2
Joined: Wed Mar 14, 2018 12:20 pm

Post by Mente Oscura »

torrent-world.ru
Снял одно, поставил другое (лайт браузер)
Spoiler
Image
logan344
Postaholic
Postaholic
Posts: 1234
Joined: Sat Dec 02, 2017 11:12 am

Post by logan344 »

Ахахахах, а зачем вы заменили одну фейк кнопку на другую? Авторы подписок уведомляют о том, что такие сайты которые вводят пользователей в заблуждение будут заблокированы если кнопки не будут убраны. А вы взяли и одну кнопку на другую заменили.
ublock origin 1.23.0(ruadlist,adguard annoyances/tracking, ublock filters/unbreak,easylist)
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

Кнопку на torrent-world.ru скрыл, уведомление по данному случаю отправил.

Add
Просьба не мусорить тему обсуждениями и оставлять сообщения об обнаруженных случаях и рецидивах в теме: Блокировка левых браузеров и фейковых кнопок скачивания.
Если дудлы утомили - Google No Doodles
gendolf99
New Member
New Member
Posts: 7
Joined: Mon Mar 12, 2018 12:16 pm

Post by gendolf99 »

Я не понял в чем претензия? adblock блокирует переход по кнопке на сайте torrent-world.ru, никакие методы обхода блокировки адблоком не применены.
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

Переход блокируется "случайно", благодаря ранее добавленным в бан доменам загрузки этой пакости. Но они меняют их как перчатки, такая блокировка нестабильна. Будь по другому, ресурсы размещения никто бы не трогал. Поэтому наличие нескрытой кнопки черевато тем, что переход может заработать в любой момент.
Если дудлы утомили - Google No Doodles
gendolf99
New Member
New Member
Posts: 7
Joined: Mon Mar 12, 2018 12:16 pm

Post by gendolf99 »

Я что-то не понял. На сайте torrent10.ru, например, кнопка скрывается. Так сделайте так же и на torrent-world.ru. C adblock кнопка не работает и я специально поставил такой домен, который adblock блокирует, чтобы выполнить вашу просьбу. Без моего ведома никто домен на кнопке поменять не может. Я считаю, что полностью выполнил вашу просьбу. Никаких методов обхода блокировки не применял в данном случае и не собираюсь.
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

Всё в порядке. Скрытие этой кнопки я и упомянул выше. Просто нужно было уведомить о характере скрытия.
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

14.03.18 Уведомлены и находятся в зоне риска:
rutorgames.org
rutorrent.co
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

15.03.18 Уведомлены и находятся в зоне риска:
game-torrent.net
fast-torrent.co
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

rusbitor.ru заблокирован в связи с обходом блокировки продвижения:
https://hg.adblockplus.org/ruadlist/rev/2ca4e35ebf13
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

Снята блокировка с rusbitor.ru в связи с отказом от обхода скрытия кнопки загрузки вредоносного ПО:
https://hg.adblockplus.org/ruadlist/rev/1919e6314851
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

16.03.18 Уведомлены и находятся в зоне риска:
utorrentgames.net
Если дудлы утомили - Google No Doodles
User avatar
dimisa
RU AdList Author
RU AdList Author
Posts: 9784
Joined: Tue Dec 01, 2015 5:24 pm

Post by dimisa »

В связи с неоднократным обходом скрытия кнопки, приводящей к загрузке вредоносного ПО, домен torrent10.ru заблокирован.

17.03.18 Уведомлены и находятся в зоне риска:
igrigo.net
mega-trek.net
Если дудлы утомили - Google No Doodles
Post Reply