Генералы рекламных карьеров. Dr. Web о рекламных троянцах.

Источник: http://news.drweb.com/

Вредоносные программы, предназначенные для демонстрации в браузере пользователя различной навязчивой рекламы, в последнее время стали появляться все чаще и чаще. Только за последнее полугодие в вирусные базы Dr.Web было добавлено множество подобных рекламных троянцев, значительная часть которых распространялась с использованием различных партнерских программ.

Наиболее активным распространителем вредоносных приложений на сегодняшний день является партнерская программа Installmonster.ru - в последнее время она специализируется на распространении рекламных троянцев. Среди представителей этого семейства можно отметить такие приложения как Trojan.Zadved.1, а такжеTrojan.Admess.1, о распространении которого мы сообщали 6 февраля. Однако деятельность компании "Доктор Веб" по борьбе с рекламными троянцами приходится по душе далеко не всем. Так, вскоре после публикации упомянутой выше новости в нашу компанию поступило письмо от администрации партнерской программы Installmonster. Желающие могут ознакомиться с текстом письма здесь.

Вскоре после этого в пресс-службу компании пришло еще одно письмо - якобы от самого создателя троянцаTrojan.Admess.1, Сергея Ко***ева (фамилия скрыта по соображениям приватности).

Как видно из текстов писем, представитель партнерской программы и сам создатель приложения утверждают, что плагин для браузеров, размещающийся в настоящее время на сайте adobe-sdk-site.com, не несет в себе никакого вредоносного функционала. Действительно, файл, расположенный сейчас на данном сайте, имеет размер порядка 500 Кбайт, и не представляет собой какой-либо угрозы, поскольку является точной копией широко известного плагина для социальной сети "ВКонтакте". В данном случае владельцу сайта и автору данной браузерной надстройки хватило ума только на то, чтобы поменять в коде название плагина:

Слева - то, что раздается в настоящий момент с сайта adobe-sdk-site.com, справа - оригинальный плагин "VkOpt"

Опубликованная компанией "Доктор Веб" новость, посвященная троянцу Trojan.Admess.1, касалась совершенно другого плагина, имевшего размер порядка 6 Кбайт, и распространявшегося с использованием возможностей партнерской программы Installmonster. Очевидно, что представители партнерской программы, и сам создатель троянца, пытаются ввести в заблуждение сотрудников компании "Доктор Веб", причем весьма наивным и нелепым способом. Модераторов Installmonster совершенно не смутило то обстоятельство, что плагин распространялся под видом проигрывателя Adobe Flash Player, в связи с чем можно предположить, что используемые ими способы "проверки рекламодателей" неэффективны, либо вовсе отсутствуют. Что же касается функционала, связанного с кражей паролей, который по словам представителей Installmonster "не нашел подтверждения", то очевидные выводы можно сделать исходя из простого анализа кода рассматриваемого нами плагина. Давайте обратим внимание на представленные ниже скриншоты:

Введенные пользователем данные из поддельной формы, встраиваемой троянцем в веб-страницу социальной сети "ВКонтакте", передаются скрипту log_vk.php, расположенному на сайте http://adobe-sdk.com.

Введенные пользователем данные из поддельной формы, встраиваемой троянцем в веб-страницу поисковой системы "Яндекс", передаются скрипту log_yandex.php, расположенному на сайте http://adobe-sdk.com.

Введенные пользователем данные из поддельной формы, встраиваемой троянцем в веб-страницу сайта Mail.Ru, передаются скрипту log_mail.php, расположенному на сайте http://adobe-sdk.com.

Введенные пользователем данные из поддельной формы, встраиваемой троянцем в веб-страницу социальной сети "Одноклассники", передаются скрипту log_ok.php, расположенному на сайте http://adobe-sdk.com.

Однако основным функциональным назначением данного плагина является все же подмена рекламных модулей на популярных сайтах, обладающих высокой посещаемостью, к которым пользователи традиционно относятся с определенной степенью доверия. При этом плагин демонстрирует баннеры рекламных сетей, давно замеченных в распространении вредоносного ПО и продвижении мошеннических сайтов - все эти сети и рекламируемые ими ресурсы присутствуют в базах Родительского контроля Dr.Web. Именно в силу наличия этого функционала данное приложение было отнесено вирусными аналитиками к категории троянских (т.е полностью вредоносных) программ.

В ответ на утверждение представителей Installmonster о том, что их партнерская программа "не нацелена на распространение вредоносного ПО, и готова сотрудничать по детектированию нечестных рекламодателей" нам хотелось бы напомнить читателям о троянце Trojan.Zadved.1, которому была посвящена отдельная статья, опубликованная на сайте компании "Доктор Веб" еще в 2013 году. Несмотря на огласку данного факта, указанный троянец до сих пор распространяется партнерской программой Installmonster, в настоящее время - под видом плагина "eTranslator".

Наконец, в отношении предложения представителей партнерской программы о том, что "данные рекламодателя у нас есть, и могут быть представлены при соответствующем запросе" компания "Доктор Веб" может сообщить, что в данном случае в предоставлении сведений нет необходимости: рекламодатель-распространитель вредоносного ПО сам опубликовал на своей домашней страничке собственные контактные данные, в частности, номера мобильного телефона, а также биометрическую и автобиографическую информацию, включающую рост, вес, дату и место его рождения.

Специалисты компании "Доктор Веб" напоминают, что в Законодательстве Российской федерации предусмотрена уголовная ответственность за распространение вредоносного ПО. Надеемся, эта информация заинтересует правоохранительные органы. В свою очередь, мы будем и в дальнейшем прикладывать все усилия для борьбы с распространителями троянских программ и нерекомендуемых рекламных приложений.


Страница сайта http://www.interface.ru
Оригинал находится по адресу http://www.interface.ru/home.asp?artId=35966