Итак, давайте попробуем разобраться, что из себя представляет браузер, инсталлируемый файлом "lite_bundle.exe", продвижением которого занимается offergate.pro. Начать следует с того, как обычно подаётся это ПО непосредственно пользователю.
Как видно из скрина выше, самыми большим и заметным элементом кнопки является надпись "скачать бесплатно", а дописка про "медиа обозреватель" сделана в стороне, мельчайшим шрифтом бледно-серого цвета. Логитипы, свидетельствующие о принадлежности к какому-либо бренду - отсутствуют. Размещаются кнопки, как правило, на страницах скачивания файлов, которые на самом деле интересуют посетивщих ресурс пользователей.
При проверке "lite_bundle.exe" с помощью сервиса Google, VirusTotal (более 60 антивирусных движков), даёт следующую картину:
https://www.virustotal.com/#/file/b7b9ade6bb27ea6ac23e9373a2a1b32f86c4b5d9c0643f3d7341c8555fe2396d/detection
По мнению специалистов VirusTotal, до 10 положительных совпадений вполне можно отнести к ложным срабатываниям, однако здесь их более 30. Дополнительная проверка сервисом Dr.Web подтверждает, что файл заражён.
А вот Kaspersky, считывая цифровой сертификат от "LLC Mail.Ru", который:
- Подтверждает, что программное обеспечение получено от конкретного издателя;
- Защищает программное обеспечение от изменения после его публикации;
И цифровой от "Symantec Time Stamping Services Signer - G4", который:
- Включает в подпись данных текущее время;
... считает, это файл чист. Но это проверка одним-единственным движком, которая толком не проводится, а останавливается на сверке цифрового сертификата.
Поскольку загрузка этого ПО осуществляется с доменов-однодневок, для борьбы с его продвижением было принято решение о блокировке ресурсов, непосредственно на которых размещается сама кнопка.
После появления настоящего топика и отправки уведомлений участвовавшим в продвижении "lite_bundle.exe" ресурсам, от offergate.pro было получено письмо со следующего содержания:
Добрый день!
Касательно Вашего решения, по блокировке сайтов, раздающих ПО кампании
mail.ru, хотелось бы получить пояснения, чем руководствуется Ваше
решение, о том, что данный софт является вредоносным?
Если руководствоваться только отчетами virustotal, то данное решение не
совсем корректно.
Данная проверка,
https://www.virustotal.com/#/file/b7b9a ... /detection
говорит о том, что большинство крупных антивирусов не реагирует на файл,
как на вирус. Показанные же тут детекты имеют только информационный
характер о том, что файл "potentially unwanted", что не является
предупреждением о вредоносном файле.
Часть детектов являются “false positive”. Вскоре после обращения на
перепроверку файла в АВ, они пропадают.
Что еще необходимо рассмотреть:
Браузер Lite подписан цифровой подписью компании Mail.Ru Group. На
лендинг странице присутствует подробное описание ПО и ссылки на
лицензионные соглашение каждого из компонентов.
https://help.mail.ru/legal/lite-eula
https://help.mail.ru/legal/exts-eula
http://rutube.ru/info/agreement
http://getoneclick.ru/license
Программное обеспечение полностью соответствует политикам в отношении
программного обеспечения. А именно:
https://www.google.com/about/unwanted-s ... olicy.html
https://support.avast.com/en-ww/article/228/
https://www.cs-alliance.org/guidelines
https://yandex.ru/company/rules/distribution/
Кроме того, распространение вредоносных файлов является уголовным
преступлением в Российской Федерации. Утверждая, что файл установщика ПО
от mail.ru является вредоносным Вы должны подтвердить это более весомыми
фактами, чем детекты на virustotal, как минимум - решением суда.
Хотелось бы заметить, что любой блокировщик рекламы, имеет задачу
блокировать рекламу, а не сайт целиком. Если пользователь данной
программы хочет зайти на сайт, который Вы блокируете целиком, то ему
вероятно, придется отключить блокировщик, что негативно скажется на
количестве пользователей данного софта.
Убедительно просим, принять к сведению приведенные выше факты, при
реализации Вашего решения.
С Уважением, администрация партнерской программы OfferGate.pro
Однако тесты других аналогичных файлов теорию про "false positive" не подтверждают.
https://www.virustotal.com/#/file/40f4486a473c962831da0597050ff9440dc94b0e25f32fa39a75d9841c34a602/detection
https://www.virustotal.com/#/file/ad5ee9fd7a2138adeb70911a9d7cc0345d2b241b6260fef22ebc72ae845a297c/detection
https://www.virustotal.com/#/file/50cbc797c4a100ca24b36648de2655dd1620ee9e7b481aa9a5fee96283eef366/detection
Также не подтверждают принадлежность offergate.pro к mail.ru и представители mail.ru. Они коммуницируют между собой, но судя по всему, offergate.pro структурным подразделением mail.ru не является.
Реакция представителя offergate.pro:
Ни троянов, ни adware там нет. Там есть программы, которые устанавливаются с разрешения пользователя (через флажки в офере). Антивирусы всегда реагировали на наш лончер/установщик. Но то, что они пишут, что там внутри вирусы, еще не значит, что они там есть. С этой антивирусной "истерикой" мы живем все годы существования дистрибуции. Заблокируют – изменим лончер и/или состав продуктов. Полностью выйти из детектов невозможно. Можно только реагировать.
Как показывают примеры Opera, Yandex и Punto Switcher - выйти из детектов вполне возможно. Когда это произойдёт, практика блокирования учавствующих в продвижении доменов прекратится.
Реакция представителя mail.ru:
Ок, баньте эти и им подобные сайты. Посмотрим, может быть после этого отношение поменяется.
Создаётся впечатление, что mail.ru не нравится, что компания замешана в этой истории. Возможно именно по этой причине на кнопке скачивания и страницах загрузки "lite_bundle.exe" как раз отсутствует какое-либо брендирование, указывающее на mail.ru. Аналогичный продукт от yandex.ru своего лейбла не стесняется.
В настоящий момент, несмотря на уведомление, вывели из-под блокировки и продолжают продвижение "lite_bundle.exe" следующие ресурсы:
В 00-00 мск 07.03.2018 они будут заблокированы. Через 4 дня будут направлены репорт в Google. В дальнейшем обход блокировки кнопок, приводящих к загрузке "lite_bundle.exe", в тех случаях когда ресурсы были заранее уведомлены, будет приводить к блокировке доменов.