Pull to refresh

Comments 56

Вы уверены, что jpeg — удачный выбор для скриншотов?
Не очень, но какие есть.
Согалсен, картинка несколько расплывчатая. Но общую картину понять даёт. Более точные картинки есть на офсайте «аддона».
Это же очевидно, что такие программы наносят некоторый ущерб. Всегда удивлялся тем, кто их ставит.
Хорошо что вы провели анализ.
Еще бы както объяснить тем людям которые их ставят что это не есть хорошо, частенько у знакомых уводят акки, конечно не только изза программ, но очень часто и изза них.
Было бы просто замечательно если бы вконтакт сделал страницу на которой бы публиков «проверенные» плагины, которые действительно работают и не воруют пароли, даже если действительно добавляют «недокументированный функционал», например «Пригласить всех друзей во встречу».
У вконтакта есть страница, на которой написано что никаких плагинов для контакта ставить не следует. Это для всех. А более квалифицированных это не остановит.
Ну да, только всетаки есть плагины которые действительно работают, все об этом знают, и пользователю будет проще вбить в яндексе «скачать плагин для вконтакта бесплатно без смс» и нахватать себе троянов.
Ага, а на следующей день после поблкации проверенных плагинов, Вконтакт получит кучу исков от правообладателей (в дополнение уже существующей куче). Большинство функционала, который есть в плагинах не реализован во Вконтакте специально, а не просто по забывчивости программистов соцсети.
Конечно, на упаковщик сработал — тот еще герой)
Ну и на этом спасибо, на войне все методы обнаружения хороши. ;-)
Упаковщик — UPX. Если на него срабатывать, то половина Интернета станет вирусом :)
А что еще кроме вредноносных программ пакуют UPX'ом???
Ну, а как Вы думаете, для чего людям уменьшать размеры файлов? :) Да, чтобы быстро и дешево их передать. Раньше это было очень актуально, ну просто очень. Вспоминаются старые-добрые времена.
Собственно я не ответил на вопрос. UPX-ом паковали и обычный софт. Паковали им, так как он бесплатный, открытый и антивирусы на него не ругались.
Я Вас понял. Но все же, сейчас много пакуют легального UPX'ом? Может тот же Dr.Web оправданно занес его в вредноносные программы?
«Мы все очень любим контактик» — этой фразы в описании хватает отбить желание читать дальше и тем более, что-либо качать
Тег «сарказм» не разглядели?
>> Домен был зарегистрирован через Reg.Ru частным лицом
Если оформляли не на краденый паспорт, что, думается, сомнительно, вычислят моментально — Рег.ру с 2009-го года скан паспорта требует при покупке доменов и аренде серверов.
А почему Вы считаете, что сомнительно?
Не тот калибр, мне думается, чтобы паспорт под это дело воровать.
Необязательно воровать, можно купить ворованный. И зачем паспорт — хватит и ксерокопии.
Вы просто недооцениваете масштабы и стоимости спама при хорошо организованной партнёрке.
Вероятно, я не разбираюсь в теневых видах коммерции.
Добавлю несколько вкусняшек из оригинального обсуждения:

1. Это партнерка для этого софта
Предлагаю новую выгодную партнерку. WebPlugins - это плагин пак для вконтакта (браузерные плагины под FF, Chrome и Opera)
Ознакомиться с плагин паком можно тут:
vkontakte.ru/app2020504

Платим 5 рублей за инсталл.

Это не ботнет. Софт сертифицирован, крутится только в браузерах.

Поскольку это не специализированный софт, а вещь, способная заинтересовать большинство людей - инсталлов будет много.


Ну и обсуждение на одном небезызвестном форуме, ныне удаленным, но google все помнит
Тег кода жутко растянул текст. Sorry
Думаю это изображение стоит добавить в пост
image
Об этом и речь. К сожалению, доверие к валидной цифровой подписи подвело большинство облачных сканеров. В том числе, по-видимому, и KSN.
Вчера был у знакомых, разрешить накопившиеся у них компьютерные вопросы. Их сын как раз сидел за компьютером в «вконтакте», когда я пришел. И собирался установить эту софтину. Я запретил, а ее скачал себе на флешку. После проверки Virustotal — получил результат, аналогичный представленному в посте. Сегодня отправил на анализ в Avira. Интересно, что скажут.
Проблема заключается в том, что ни сам установщик, ни файлы им устанавливаемые сами по себе ничего зловредного не делают. А делает аддон под браузер — и только при посещении конкретного сайта (а не всех подряд). При этом сам ява-код обфусцирован.

Итого: цифровая подпись сразу даст благостный вердикт автоматической системы, а аналитик может не досмотреть до самой глубины. И файл признают безопасным.

Подождём…
Эм, радость от статьи была больше, если бы были какие-нибудь ассемблерные листинги из иды или просто более подробный анализ и уан-клик спец-тулза для быстрого обезвреживания\проверки на наличие нежити :)
Спасибо за критику, учтём :)
IDA тут ни к чему — основной код выполнен в javascript, ассемблер ни при чём.
А спецтулза — это кнопка Del на клавиатуре и умение пользоваться поиском :)
Думаю, что Хабр читают и вендоры, а значит сабж будет добавлен в антивирусные базы, так что спецтулза утратит актуальность ещё до написания :)
Я, к своему стыду, не качал это расширение, так что не в курсе на чем оно написано и что там внутри, в статье об этом написано не было.
Согласен, однозначно не видно. Поправил.
Я автор WebPlugins. Но пишу с чужого акка. Не минусуйте, если сможете.

Хотелось бы прокомментить некоторые громкие замечания))

1) Программа выполняет заявленные функции. Не является трояном, червем (хотя манера саморекламы, возможно, имеет что-то с ним общее), вирусом. Не крадёт пароли, не ворует личную инфу. Проведите экспертизу, убедитесь.

2) Спам не рассылается автоматически. Еще разок. Не рассылается без согласия пользователя.
Его уведомляют про то, что начнется рассылка после нажатия кнопки «Убрать баннер».

3) Давайте по существу, без придирок к фразам, иконкам и обсуждений (не)возможностей антивирей. Почему мой софт обвиняют в спаме? Так же распространялся Badu, и пиарятся приложения. Или я что-то пропустил? Уберите клевету про спам.

Часть вопросов уже закрыли на форуме.

ru.wikipedia.org/wiki/Спам
В последнее время значительная часть приходящих пользователям популярных социальных сетей и сайтов знакомств личных сообщений является спамом, который часто рассылается от имени пользователей, логины и пароли к чьим аккаунтам попали в руки спамеров (что облегчает обход различных ограничений). Кроме личных сообщений также могут использоваться и другие способы коммуникации в социальных сетях — приглашения в группы/сообщества, заявки на «дружбу», «стены»/«гостевые книги» и т. д.


То, что этот функционал запускает сам пользователь еще не отменяет факт массовой рассылки. Тот факт, что этот функционал уже удален в новой версии является положительным фактором.
Еще раз: я (т. е. харбраюзер asash) не имею никакого отношения к разработке WebPlugins. Я лишь дал возможность высказаться человеку, которого я знаю, и который считает себя разработчиком этой программы.
Меня за это минусуют?

Обидно за слитую карму, так как ее только-только накопилось на то, чтобы написать статью, и я уже начал ее готовить.
Лично я Вас не минусовал, а тем более карму. Но думаю, что обществу не понравилось, что с Вашего акка пишет чужой человек, тем более, который, как Вы выразились, не является разработчиком, а считает себя разработчиком этой программы.

А возможно обществу просто не нравится сама идея разработки подобных программ.
Лично мне тоже не нравится распространение методом спама.
Однако я считаю, что ничего плохого в том чтобы дать высказаться человеку, который имеет непосредственное отошение к теме нет.
Но раз сообщество считает что это плохая идея, то я извиняюсь, более коменариев с моего логина от имени разработчиков не будет.

Все вопросы к разработчикам можно задать по почте и на форуме, на который есть ссылка в топике.

P. S. часть кармы вернулась, спасибо.
>начнется рассылка после нажатия кнопки «Убрать баннер».
За начало рассылки по кнопке «Убрать баннер», а не по кнопке «Начать рассылку» в приличных домах бьют канделябрами.
UFO just landed and posted this here
Выдачей сертификатов кому попало. Например, недавно был скандал с русликсом.
Я автор WebPlugins. Но пишу с чужого акка. Не минусуйте, если сможете.

некоторый эпилог.
Прошу всех интересующихся и ищущих справедливости прочесть. В конце поста выдержка оттуда.

Обращение к автору статьи.
1) Насколько я знаю, Вы не являетесь автором статьи, источник выше. Хорошо, что хоть автора указали.
2) Ваша цитата: «Но делает программа и то, что не сказано ни в «Соглашении», ни на сайте — а именно: рассылает спам с эккаунта. При этом авторы довольно откровенно хвалятся этим.»

Я прошу исправить две основные клеветы: а) «рассылает спам с эккаунта» — подробности ниже. Делает рассылку с согласия пользователя. б) «довольно откровенно хвалятся этим» — в том обсуждении нас нет.

Ваш околонаучный сарказм с приличным количеством ошибок не тронул меня. Простите.

Обращение ко всем борцам за истину.
Если есть еще какие-то замечания, то перед тем, как строчить гневные репорты хостерам и регистраторам, обратитесь к нам — мы учтём и исправим.
admin@web-plugins.ru Виктор

Кратко процитирую резюме:

— ADMIN — Давайте подведем итоги.

1. Старая версия программы действительно имела спам-функционал, хоть он и активировался явно самим пользователем — удалено обновлением.
2. Обнаружены недостатки как в договоре, так и режиме удаления — обещано исправить.
3. Были проблемы с способами распространения софта до конечного пользователя — обещано подумать

Поправьте если упустил один из фактов. На этом этапе тема пока исчерпана.
— /ADMIN — --------------------------------------- Я — Спорный функционал убрали. Новый функционал не будет вызывать никаких спорных вопросов. Если будет интересно, сами сможете убедиться.
— /Я —
Только я еще не знал, что код рассылки только закоментирован и может быть подключен в любой момент. И если честно, очень напрягает список доменов рассылки… ей богу подготовка как к распространению зловреда.
Когда начали банить пользователей (24-го), я слишком торопился и просто закомментил строку с рассылкой. Сейчас её вообще нет.

Список доменов присутствует и не очень большой. Не представляю себе зловреда, основанного на десятке доменов.

Эти коды не использовались в паблике никогда. Что-то вроде старой песочницы.)
Спасибо за ответ. Я не говорю о объеме доменов… его легко догнать до любого необходимого количества, я о подходе.
ВКонтакте под видом WebPlugins началась фишинг атака. Некоторым читателям хабры хватило полсуток, чтобы, используя механизм, заложенный в WebPlugins для постинга на стены друзей, сделать вполне хорошего червя.

С прекрасными ua-доменами. С созданием альбома у пользователя с фейковыми картинками.

Похоже, сделав обзор WebPlugins и обвинив меня в спамерстве, Вы сотворили еще большее зло.

vkontakte.ru/id21642151
У этой «Юлии Морхат» спам, судя по стене, идёт с 18 сентября. Конкретно на Вашем скриншоте видно, что он был ещё 21 сентября. Так что не показатель :)
Этого можно было ожидать. Хабр только немного ускорил события.
Sign up to leave a comment.

Articles