(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Генералы рекламных карьеров. Dr. Web о рекламных троянцах.

Источник: http://news.drweb.com/

Вредоносные программы, предназначенные для демонстрации в браузере пользователя различной навязчивой рекламы, в последнее время стали появляться все чаще и чаще. Только за последнее полугодие в вирусные базы Dr.Web было добавлено множество подобных рекламных троянцев, значительная часть которых распространялась с использованием различных партнерских программ.

Наиболее активным распространителем вредоносных приложений на сегодняшний день является партнерская программа Installmonster.ru - в последнее время она специализируется на распространении рекламных троянцев. Среди представителей этого семейства можно отметить такие приложения как Trojan.Zadved.1, а такжеTrojan.Admess.1, о распространении которого мы сообщали 6 февраля. Однако деятельность компании "Доктор Веб" по борьбе с рекламными троянцами приходится по душе далеко не всем. Так, вскоре после публикации упомянутой выше новости в нашу компанию поступило письмо от администрации партнерской программы Installmonster. Желающие могут ознакомиться с текстом письма здесь.

Вскоре после этого в пресс-службу компании пришло еще одно письмо - якобы от самого создателя троянцаTrojan.Admess.1, Сергея Ко***ева (фамилия скрыта по соображениям приватности).

Как видно из текстов писем, представитель партнерской программы и сам создатель приложения утверждают, что плагин для браузеров, размещающийся в настоящее время на сайте adobe-sdk-site.com, не несет в себе никакого вредоносного функционала. Действительно, файл, расположенный сейчас на данном сайте, имеет размер порядка 500 Кбайт, и не представляет собой какой-либо угрозы, поскольку является точной копией широко известного плагина для социальной сети "ВКонтакте". В данном случае владельцу сайта и автору данной браузерной надстройки хватило ума только на то, чтобы поменять в коде название плагина:

Слева - то, что раздается в настоящий момент с сайта adobe-sdk-site.com, справа - оригинальный плагин "VkOpt"

Опубликованная компанией "Доктор Веб" новость, посвященная троянцу Trojan.Admess.1, касалась совершенно другого плагина, имевшего размер порядка 6 Кбайт, и распространявшегося с использованием возможностей партнерской программы Installmonster. Очевидно, что представители партнерской программы, и сам создатель троянца, пытаются ввести в заблуждение сотрудников компании "Доктор Веб", причем весьма наивным и нелепым способом. Модераторов Installmonster совершенно не смутило то обстоятельство, что плагин распространялся под видом проигрывателя Adobe Flash Player, в связи с чем можно предположить, что используемые ими способы "проверки рекламодателей" неэффективны, либо вовсе отсутствуют. Что же касается функционала, связанного с кражей паролей, который по словам представителей Installmonster "не нашел подтверждения", то очевидные выводы можно сделать исходя из простого анализа кода рассматриваемого нами плагина. Давайте обратим внимание на представленные ниже скриншоты:

Введенные пользователем данные из поддельной формы, встраиваемой троянцем в веб-страницу социальной сети "ВКонтакте", передаются скрипту log_vk.php, расположенному на сайте http://adobe-sdk.com.

Введенные пользователем данные из поддельной формы, встраиваемой троянцем в веб-страницу поисковой системы "Яндекс", передаются скрипту log_yandex.php, расположенному на сайте http://adobe-sdk.com.

Введенные пользователем данные из поддельной формы, встраиваемой троянцем в веб-страницу сайта Mail.Ru, передаются скрипту log_mail.php, расположенному на сайте http://adobe-sdk.com.

Введенные пользователем данные из поддельной формы, встраиваемой троянцем в веб-страницу социальной сети "Одноклассники", передаются скрипту log_ok.php, расположенному на сайте http://adobe-sdk.com.

Однако основным функциональным назначением данного плагина является все же подмена рекламных модулей на популярных сайтах, обладающих высокой посещаемостью, к которым пользователи традиционно относятся с определенной степенью доверия. При этом плагин демонстрирует баннеры рекламных сетей, давно замеченных в распространении вредоносного ПО и продвижении мошеннических сайтов - все эти сети и рекламируемые ими ресурсы присутствуют в базах Родительского контроля Dr.Web. Именно в силу наличия этого функционала данное приложение было отнесено вирусными аналитиками к категории троянских (т.е полностью вредоносных) программ.

В ответ на утверждение представителей Installmonster о том, что их партнерская программа "не нацелена на распространение вредоносного ПО, и готова сотрудничать по детектированию нечестных рекламодателей" нам хотелось бы напомнить читателям о троянце Trojan.Zadved.1, которому была посвящена отдельная статья, опубликованная на сайте компании "Доктор Веб" еще в 2013 году. Несмотря на огласку данного факта, указанный троянец до сих пор распространяется партнерской программой Installmonster, в настоящее время - под видом плагина "eTranslator".

Наконец, в отношении предложения представителей партнерской программы о том, что "данные рекламодателя у нас есть, и могут быть представлены при соответствующем запросе" компания "Доктор Веб" может сообщить, что в данном случае в предоставлении сведений нет необходимости: рекламодатель-распространитель вредоносного ПО сам опубликовал на своей домашней страничке собственные контактные данные, в частности, номера мобильного телефона, а также биометрическую и автобиографическую информацию, включающую рост, вес, дату и место его рождения.

Специалисты компании "Доктор Веб" напоминают, что в Законодательстве Российской федерации предусмотрена уголовная ответственность за распространение вредоносного ПО. Надеемся, эта информация заинтересует правоохранительные органы. В свою очередь, мы будем и в дальнейшем прикладывать все усилия для борьбы с распространителями троянских программ и нерекомендуемых рекламных приложений.

Ссылки по теме


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 13.02.2014 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Купить Антивирус Dr.Web Server Security Suite для сервера
Комплект Dr.Web «Универсальный», 1 год, 5 ПК
Купить, скачать Dr.Web Security Space, 1 год, 1 ПК
Dr.Web Security Space, продление лицензии на 1 год, 1 ПК
VMware Workstation Pro 12 for Linux and Windows, ESD
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Вопросы и ответы по MS SQL Server
Один день системного администратора
Мастерская программиста
 
Статьи по теме
 
Новинки каталога Download
 
Документация
 
Обсуждения в форумах
Настройка меню "Пуск" Windows 7 при помощи реестра (3)
Скажите пожалуйста, а как можно закрепить ярлыки программ с помощью твиков реестра в левой части...
 
Помощь по MS Access (327)
Доброе время суток. Случайно оказался на этом сайте, искал статьи по OLAP. Вижу, что...
 
Русификация рамки IDEF0 BPWin4 (41)
Возможно ли русифицировать рамку диаграмм в BPWin4?
 
Как изменить шрифт Wordpad? (4)
Как изменить шрифт Wordpad по умолчанию? Там Таймс, а мне, допустим, Ариал нужен. Можно ли...
 
Проектирование курсовой работы в BPWin (32)
Здравствуйте.Подскажите пожалуйста где можно найти примерное проектирование курсовой работы...
 
 
 



    
rambler's top100 Rambler's Top100