tertish 2 Опубликовано 30 октября, 2009 Share Опубликовано 30 октября, 2009 Хотелось бы услышать коментарии по поводу этого поста на хабре. Скачай себе Adware от Агавы: Скачиваете вы себе файлик, а он в самораспаковывающемся архиве. Запускаете exe'шник, открывается вроде WinRar (очень похожее окно на вид), распаковываете себе файлик и забываете. Но через время со всех дыр начинает лезть реклама, которую непонятно как отключить потому что не ясно, откуда она вообще взялась. Казалось бы, классическая схема впаривания адвари, живет уже много лет и ничем не примечательна. Но в России решили сделать по-другому. Адварь теперь одобрена местными антивирусами, распространением практически официально занимается довольно крупная и известная компания. Чуть больше года назад, мне постучал один из партнеров и сказал что кто-то там хочет у меня размещать вирусы и платить за это деньги. От предложения сходу отправить такого коммерсанта лесом удержало только то, что он назвал себя представителем Агавы и что их вирус вроде как одобрен Касперским и отлавливаться им не будет. Мне стало интересно, как такое может быть и я разрешил дать свои контакты, чтобы пообщаться непосредственно. В ICQ постучался некий Avaks, который назвался Михаилом Ильином, директором по чем-то там в Агаве. Кратко рассказал о том, что предлагается: Я пакую все файлы на сайте их архиватором, получаются exe'шники, которые при распаковке похожи на WinRar так, что пользователь и не заметит разницы. При распаковке всплывает окошко, где среди кучи текста есть маленький абзац о том, что пользователь нажимая «продолжить» соглашается поставить себе некий рекламный модуль, который сможет потом удалить. После нажатия «продолжить» юзеру ставится этот модуль, который где-то через сутки начинает показывать рекламу. Мне, мол, пойдут денежки за клики, со временем юзеров, что скачали вирус с моей рефкой станет много, кликов пойдет немеряно и вообще можно заработать мильйон очень быстро и не напрягаясь. А так, как реклама будет только через сутки после установки рекламного модуля, то никто и не допрет, откуда она вообще взялась. На мои вопросы, типа, зачем же это мне добровольно гробить свой ресурс, почему Агава не использует свой ifolder.ru и как вообще публичная компания может впаривать вирусы мне сказали, что ресурс я не угроблю потому, что реклама у них жутко релевантная и пользователь будет только доволен от того, что она будет показываться. Ифолдер не используют потому что типа еще не готова интеграция (на сколько я знаю, она и сейчас не готова, а потом будут предлагать пользователям сжимать свои файлы этим чудо-архиватором, а по поводу вирусов, так это вообще не вирус, там типа есть деинсталятор и вообще все это добро одобрено в лаборатории Касперского и их антивирус на рекламный модуль не реагирует. При этом, вопрос о том, хотят ли они просто подставить конкурентов (в моем лице) или они просто впечатлились тем, как летитбит их за пару месяцев обогнал и решили попробовать развиваться теми-же методами, вызвал гневную тираду. Типа сравнение с летитбитом даже оскорбительно, мол у нас тут деинсталятор есть и вообще это совсем не адварь, просто рекламный модуль, который юзер сам соглашается ставить. А конкурентов они подставлять не хотят, и вообще они для них не сильно интересны и работать планируется с mp3 сайтами, тут просто я под руку подвернулся и т.д. Итого, беседа длилась около часа, меня убеждали (пользователи — плохой, какая тебе разница, тут деньги платятся итд), угрожали (мы пойдем к твоим конкурентам, они заработают кучу денег и выживут тебя с рынка), долбили фразами о том, что это у них не адварь, что они на всю голову легальные и вообще несут доброе и вечное. Закончилось тем, что я пообещал автоматически определять наличие их адварей в файлах и удалять файлы вместе с юзерами, что их залили и прекратил диалог. Я проникся русскому стилю наебизнеса, даже натыкался на сайты с их адварью, но настал кризис и в общем-то эта история как-то забылась (видимо, в кризис решили активность не проявлять). Ведь вполне мог кто-то левый назваться Михаилом Ильином, вести диалог в его стиле (читал после этого несколько раз его посты на roem.ru) и вообще вешать лапшу. Продолжение она получила сейчас, когда в форму обратной связи накидали предложений заработать кучу денег, но на этот раз были реферальные ссылки и судя по стилю письма, работа явно школьников каких-то. Ссылки вели на сайт tmaproject.ru, зайдя и прочитав несколько абзацев я сразу вспомнил прошлогодний диалог, убедился что писал мне реально представитель Агавы и адварь действительно их: На этот раз, правда, модуль открыто называется adware, расширился список антивирусов, которые не ловят этот модуль: «Так, в «Лаборатории Касперского» TMAgent классифицируют как AdTool – безопасная программа, показывающая рекламу. Также безопасность TMAgent подтверждается его отсутствием в в базах таких известных антивирусов, как DrWeb, NOD32, Panda Antivirus, AVG, Avira, Ad-Aware и многих других.» Наверное, в честь кризиса антивирусы снизили цены на игнорирование вирусов, Агава и решила расширить список=) Удивляет два момента: 1. Неужели в России можно легально впаривать адварь? Понятно, что юзер типа сам ставит, и что, вроде как, удалить можно, но это ж явное мошенничество. Такое-же, как у смс лохотронов, по-сути. 2. Зачем пользоваться антивирусами, которые пропускают мимо такого плана софт? Интересно было бы посмотреть на рекламодателей, что покупают рекламу в этом адваре. Вполне реально, что им продают какие-то там клики на вполне легальной тизерке, а на самом деле, генерируют переходы таким вот образом. Еще очень интересно было бы послушать официальные комментарии от самой Агавы и от Лаборатории Касперского, которая вроде как должна делать софт, что защищает от подобных программ. Ссылка на сообщение Поделиться на другие сайты
Kapral 1 322 Опубликовано 30 октября, 2009 Share Опубликовано 30 октября, 2009 А на какую тему? судя по описанию - это действительно AdWare а не вирус. Ссылка на сообщение Поделиться на другие сайты
tertish 2 Опубликовано 30 октября, 2009 Автор Share Опубликовано 30 октября, 2009 А на какую тему?судя по описанию - это действительно AdWare а не вирус. Ну это понятно, просто судя по посту на указаном выше ресурсе, этот Adware не определялся касперским, хотя существовал достаточно долго и уже по идее должен был попасть в базы Ссылка на сообщение Поделиться на другие сайты
Kapral 1 322 Опубликовано 30 октября, 2009 Share Опубликовано 30 октября, 2009 А вот тут трудно сказать так ли это на самом деле 1. Кажется AdWare - по умолчанию не включен. (но КИС у меня дома поэтому сейчас сказать не могу) 2. Не присылали в вирлаб ЛК - поэтому не включали 3. и т.д. и т.п. Ссылка на сообщение Поделиться на другие сайты
sergio342 100 Опубликовано 30 октября, 2009 Share Опубликовано 30 октября, 2009 З.Ы. Люди, работающие в Лаборатории Касперского говорят, что небыло никакого игнорирования этого модуля, что их антивирус не ловил его исключительно из-за отсутствия у них семпла. На данный момент, adware модуль отлавливается последними версиями софта и бояться нечего.Видимо, Агава про Касперский придумала сама, пользуясь тем, что их модуля какое-то время небыло в базе. Ссылка на сообщение Поделиться на другие сайты
apq 256 Опубликовано 30 октября, 2009 Share Опубликовано 30 октября, 2009 (изменено) Цитата со статьи Также безопасность TMAgent подтверждается его отсутствием в в базах таких известных антивирусов, как DrWeb, NOD32, Panda Antivirus, AVG, Avira, Ad-Aware и многих других.» не знаю как других, но этот Adware давно в базе Dr.Web и успешно детектится. по классификации Dr.Web Adware.Siggen.574. Агава несколько раз обращалась в Dr.Web с запросом на снятие детекта, но получили отказ. а по поводу Вирустотала так там просто не все опции включены, а точнее детект рекламных программ Dr.Web Изменено 30 октября, 2009 пользователем apq Ссылка на сообщение Поделиться на другие сайты
tertish 2 Опубликовано 30 октября, 2009 Автор Share Опубликовано 30 октября, 2009 А ну всё ясно. Спасибо за объяснения Ссылка на сообщение Поделиться на другие сайты
Suren 47 Опубликовано 31 октября, 2009 Share Опубликовано 31 октября, 2009 Ещё вчера проверил. Уже детектится Вот: Ссылка на сообщение Поделиться на другие сайты
apq 256 Опубликовано 31 октября, 2009 Share Опубликовано 31 октября, 2009 Ещё вчера проверил. Уже детектится странно что никто раньше не обратился в вируслаб Ссылка на сообщение Поделиться на другие сайты
Nesser 923 Опубликовано 31 октября, 2009 Share Опубликовано 31 октября, 2009 Всегда подозревал что в Агава не дружат с головой, теперь уверился Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти