EasyList Forum

устранить причину, повлекшую его добавление в оный. В случае рецидива это делается через 5 дней с момента устранения. При повторном рецидиве - через месяц. Далее - вечная блокировка.

Приведенные ранее детекты на virustotal.com были false-positive, ответственные антивирусные компании были уведомлены и в последствии сняли свои метки и добавили доменное имя в white list (https://www.virustotal.com/gui/url/34908e357459c3ae2c876971b018aa820acbfd113bb40a910101308f036da115/detection)
На данный момент не удается получить ответ от:
1. BitDefender. Приходят только автоматические ответы о том, что запрос принят в обработку, но за 2 недели не было вердикта
2. CLEAN MX. Смогли найти только вот эту форму https://support.clean-mx.com/clean-mx/portals.php?response=alive&domain=msetup.pro но добиться в ней чего либо не удается. Регистрация внизу страницы не работает, на письма не отвечают.

Отдельная интересная история была обнаружена во время снятия метки Phishtank https://www.phishtank.com/phish_detail.php?phish_id=6048620
В данный момент в архиве Phishtank домен переименован на несуществующий http://m-setup.pro , но если спроосить google запросом "phishtank msetup.pro" видно в выдаче, что id репорта 6048620 изначально был на домен msetup.pro https://prnt.sc/nyct0z и создан репорт 20го мая.
Важно то, что репорт был создан пользователем зарегистрированным в тот же день и имеет всего один репорт на аккаунте. Кроме того на этом ресурсе подтвержеднием репортов занимаются пользователи, и в случае с доменом msetup.pro в списке подтвердивших были пользователи так же зарегистрированные в этот же день и имеющие юзернэймы собранные из случайных символов. Это приводит нас к выводу, что на наш домен было создано множество сфабрикованных репортов в антивирусные компании, тем более состояние домена по virustotal.com до 15 мая(в последний раз проверялся статус домена) было абсолютно чистым.

Вот сам софт MultiSetup https://www.virustotal.com/gui/file/b8c3866121b71c44fb52f965f6ee49188989850a4cda6627dae224aa71421218/detection
Решить вопрос метки с Dr.Web не представляется возможным, это их политика установки меток.
Вот примеры легитимного ПО которое имеет те же самые проблемы с Dr.Web:

uTorrent
https://www.virustotal.com/gui/file/5f4ad19af5d2dc9b9aedd94eb74077fec1a3ca7f677ae59c4879fe70827420ad/detection

BitTorrent
https://www.virustotal.com/gui/file/f40ac469b961a918627e4154ef942da3533dcfdd15d63ae8c9c1465d1e912350/detection

Auslogics BoostSpeed
https://www.virustotal.com/gui/file/438ebc8237fa035d0d933e2f3cc2952b6a2c5038a560462dc862ba8a35f47d6b/detection

Список на самом деле очень большой, тут приведены те кто первыми на глаза попались.

Ваша позиция ясна и имеет под собой ряд прецедентов и опыт прошлых событий в рунете.

С самого начала разработки MultiSetup, мы следим за тем что происходит на рынке download тематики в рунете и на моей памяти есть как минимум случай когда имитировалась рекламная кампания вивальди браузера, которая не имела отношения к разработчикам и распространяла майнер. Мы тогда решили заняться анализом их инсталлятора, в результате потребовался месяц ожидания, чтобы их софт скомпрометировал себя и установил майнер.
Кроме того было проанализированно большое количество загрузчиков\врапперов\торрент клиентов-загрузчиков, весь этот опыт использован чтобы сделать наш продукт максимально прозрачным, безопасным и понятным.

Теперь про MultiSetup.
1. Кампания nbz имеет прямое отношение к продукту, это не подставная компания сделанная ради ЭЦП, как делают все scam'еры. MultiSetup выпущен под ЭЦП "OOO, NBZ", это уже второй выпуск цифровой подписи, так как прошлый сертификат закончился по сроку действия, это значит что мы уже год работаем от собственного юридического лица и будем продолжать это делать.

2. Все загружаемые программы проверяются, на первом этапе на virustotal.com, если файл имеет метки, как utorrent например, то проводится ручной анализ. Если контрольная сумма файла еще неизвестна virustotal'у, то он не может считаться доверительным, обычно это признак генерик троянов даже если ни один АВ на virustotal его не пометил. Проверяется цепочка VTGraph, чтобы отследить связи с возможными вредоносами.

3. Многие ресурсы на которых размещают софт, не проверяют, что они отдают пользователям, во многих случаях репаки и прочие ломанные программы несут в себе вредоносную нагрузку, а из-за большого размера файла они успешно проходят мимо анализа АВ. В нашем случае устновщик проверен и не причинит вреда компьютеру пользователя. Тут есть свои минусы, мы не можем предложить пользователю разные версии ПО, у нас присутствует только одна стабильная версия программы на наименование(исключения только когда речь заходит о разной разрядности ПО х86 или х64, в этом случае будет два отдельных наименования). На текущий момент мы тратим 12-14TB трафика в сутки, чтобы стабильно доносить до пользователей выбранное ПО. Кнопки на сайтах не являются фейковыми, они носят рекомендательный характер и он не является обманом, скачав по ним файл, будет предложена к установке та программа, которую пользователь искал. Это будет работоспособная версия без вредоносной нагрузки, значительно безопаснее, чем качать с торрентов.

4. Мы никак не заинтересованы в том, чтобы подсунуть пользователю какие-либо вредоносы под видом программы которую он хотел поставить. Мы создали честный продукт на долгосрочную перспективу. Внимательно следим за способами его распространения и методами использования. Кроме того, мы добавили самозащиту в MultiSetup, чтобы он не мог быть запущен если был модифицирован. Последний релиз версии 1.1.9 был сделан 7го мая и на текущий момент отдано более 1,5 миллиона экземпляров, на таком объеме любой антивирус соберет достаточное количество статистики и данных чтобы принять решение, это косвенно показывает, что и файлы которые загружаются в процессе являются безопасными. Так же надо отметить, что MultiSetup не производит ни единого действия без ведома пользователя, что в значительной мере защищает пользователя от неосознанных действий в процессе работы. В MultiSetup отстутствуют какие-либо механизмы для сохранения своей активности в системе, нет автозапусков или задач в планировщике, запуск производится исключительно пользователем.