Непонятки однако

[tertish]

Хотелось бы услышать коментарии по поводу этого поста на хабре.

 

 

Скачай себе Adware от Агавы:

Скачиваете вы себе файлик, а он в самораспаковывающемся архиве. Запускаете exe'шник, открывается вроде WinRar (очень похожее окно на вид), распаковываете себе файлик и забываете. Но через время со всех дыр начинает лезть реклама, которую непонятно как отключить потому что не ясно, откуда она вообще взялась.

Казалось бы, классическая схема впаривания адвари, живет уже много лет и ничем не примечательна. Но в России решили сделать по-другому. Адварь теперь одобрена местными антивирусами, распространением практически официально занимается довольно крупная и известная компания.

 

 

Чуть больше года назад, мне постучал один из партнеров и сказал что кто-то там хочет у меня размещать вирусы и платить за это деньги. От предложения сходу отправить такого коммерсанта лесом удержало только то, что он назвал себя представителем Агавы и что их вирус вроде как одобрен Касперским и отлавливаться им не будет. Мне стало интересно, как такое может быть и я разрешил дать свои контакты, чтобы пообщаться непосредственно.

 

В ICQ постучался некий Avaks, который назвался Михаилом Ильином, директором по чем-то там в Агаве. Кратко рассказал о том, что предлагается:

Я пакую все файлы на сайте их архиватором, получаются exe'шники, которые при распаковке похожи на WinRar так, что пользователь и не заметит разницы. При распаковке всплывает окошко, где среди кучи текста есть маленький абзац о том, что пользователь нажимая «продолжить» соглашается поставить себе некий рекламный модуль, который сможет потом удалить. После нажатия «продолжить» юзеру ставится этот модуль, который где-то через сутки начинает показывать рекламу. Мне, мол, пойдут денежки за клики, со временем юзеров, что скачали вирус с моей рефкой станет много, кликов пойдет немеряно и вообще можно заработать мильйон очень быстро и не напрягаясь. А так, как реклама будет только через сутки после установки рекламного модуля, то никто и не допрет, откуда она вообще взялась.

 

На мои вопросы, типа, зачем же это мне добровольно гробить свой ресурс, почему Агава не использует свой ifolder.ru и как вообще публичная компания может впаривать вирусы мне сказали, что ресурс я не угроблю потому, что реклама у них жутко релевантная и пользователь будет только доволен от того, что она будет показываться. Ифолдер не используют потому что типа еще не готова интеграция (на сколько я знаю, она и сейчас не готова, а потом будут предлагать пользователям сжимать свои файлы этим чудо-архиватором, а по поводу вирусов, так это вообще не вирус, там типа есть деинсталятор и вообще все это добро одобрено в лаборатории Касперского и их антивирус на рекламный модуль не реагирует.

 

При этом, вопрос о том, хотят ли они просто подставить конкурентов (в моем лице) или они просто впечатлились тем, как летитбит их за пару месяцев обогнал и решили попробовать развиваться теми-же методами, вызвал гневную тираду. Типа сравнение с летитбитом даже оскорбительно, мол у нас тут деинсталятор есть и вообще это совсем не адварь, просто рекламный модуль, который юзер сам соглашается ставить. А конкурентов они подставлять не хотят, и вообще они для них не сильно интересны и работать планируется с mp3 сайтами, тут просто я под руку подвернулся и т.д.

 

Итого, беседа длилась около часа, меня убеждали (пользователи — плохой, какая тебе разница, тут деньги платятся итд), угрожали (мы пойдем к твоим конкурентам, они заработают кучу денег и выживут тебя с рынка), долбили фразами о том, что это у них не адварь, что они на всю голову легальные и вообще несут доброе и вечное. Закончилось тем, что я пообещал автоматически определять наличие их адварей в файлах и удалять файлы вместе с юзерами, что их залили и прекратил диалог.

 

Я проникся русскому стилю наебизнеса, даже натыкался на сайты с их адварью, но настал кризис и в общем-то эта история как-то забылась (видимо, в кризис решили активность не проявлять). Ведь вполне мог кто-то левый назваться Михаилом Ильином, вести диалог в его стиле (читал после этого несколько раз его посты на roem.ru) и вообще вешать лапшу.

 

Продолжение она получила сейчас, когда в форму обратной связи накидали предложений заработать кучу денег, но на этот раз были реферальные ссылки и судя по стилю письма, работа явно школьников каких-то. Ссылки вели на сайт tmaproject.ru, зайдя и прочитав несколько абзацев я сразу вспомнил прошлогодний диалог, убедился что писал мне реально представитель Агавы и адварь действительно их:

 

 

 

 

 

 

На этот раз, правда, модуль открыто называется adware, расширился список антивирусов, которые не ловят этот модуль: «Так, в «Лаборатории Касперского» TMAgent классифицируют как AdTool – безопасная программа, показывающая рекламу. Также безопасность TMAgent подтверждается его отсутствием в в базах таких известных антивирусов, как DrWeb, NOD32, Panda Antivirus, AVG, Avira, Ad-Aware и многих других.»

 

Наверное, в честь кризиса антивирусы снизили цены на игнорирование вирусов, Агава и решила расширить список=)

 

Удивляет два момента:

 

1. Неужели в России можно легально впаривать адварь? Понятно, что юзер типа сам ставит, и что, вроде как, удалить можно, но это ж явное мошенничество. Такое-же, как у смс лохотронов, по-сути.

 

2. Зачем пользоваться антивирусами, которые пропускают мимо такого плана софт?

 

Интересно было бы посмотреть на рекламодателей, что покупают рекламу в этом адваре. Вполне реально, что им продают какие-то там клики на вполне легальной тизерке, а на самом деле, генерируют переходы таким вот образом.

 

Еще очень интересно было бы послушать официальные комментарии от самой Агавы и от Лаборатории Касперского, которая вроде как должна делать софт, что защищает от подобных программ.

 

[Kapral]

А на какую тему?

судя по описанию - это действительно AdWare а не вирус.

[tertish]

А на какую тему?

судя по описанию - это действительно AdWare а не вирус.

 

Ну это понятно, просто судя по посту на указаном выше ресурсе, этот Adware не определялся касперским, хотя существовал достаточно долго и уже по идее должен был попасть в базы

[Kapral]

А вот тут трудно сказать так ли это на самом деле

 

1. Кажется AdWare - по умолчанию не включен. (но КИС у меня дома поэтому сейчас сказать не могу)

2. Не присылали в вирлаб ЛК - поэтому не включали

3. и т.д. и т.п.

[sergio342]

З.Ы. Люди, работающие в Лаборатории Касперского говорят, что небыло никакого игнорирования этого модуля, что их антивирус не ловил его исключительно из-за отсутствия у них семпла. На данный момент, adware модуль отлавливается последними версиями софта и бояться нечего.

Видимо, Агава про Касперский придумала сама, пользуясь тем, что их модуля какое-то время небыло в базе.

[apq]

Цитата со статьи

Также безопасность TMAgent подтверждается его отсутствием в в базах таких известных антивирусов, как DrWeb, NOD32, Panda Antivirus, AVG, Avira, Ad-Aware и многих других.»

не знаю как других, но этот Adware давно в базе Dr.Web и успешно детектится. по классификации Dr.Web Adware.Siggen.574.

Агава несколько раз обращалась в Dr.Web с запросом на снятие детекта, но получили отказ. а по поводу Вирустотала так там просто не все опции включены, а точнее детект рекламных программ Dr.Web

Изменено 30 октября, 2009 пользователем apq

[tertish]

А ну всё ясно.

Спасибо за объяснения

[Suren]

Ещё вчера проверил. Уже детектится Вот:

 

[apq]

Ещё вчера проверил. Уже детектится

странно что никто раньше не обратился в вируслаб

[Nesser]

Всегда подозревал что в Агава не дружат с головой, теперь уверился