Легальный троянец уже у вас на борту

    Этот хабратопик является информацией для размышления для пользователей популярного клиента-загрузчика FlashGet. Заранее извиняюсь за отсутствие рабочих ссылок, но что-то хабр глючит.

    Для поиска НЛО малвари и борьбы с ней я пользуюсь продукцией компании Symantec. И буквально вчера у меня возникла проблема с тем, что NIS стал матюкаться на FlashGet. Я немного поискал в сети и в результате резюмирую:
    1. Множественные сообщения в саппорт от пользователей о том, что на их компьютерах антивирус стал обнаруживать троянские программы в каталоге FlashGet.
    2. Паника на форуме программы Flashget.
    3. Основными симптомами является появление в системе файлов с именами:
    inapp4.exe inapp5.exe inapp6.exe
    Детектируемых Антивирусом Касперского как:
    Trojan-Dropper.Win32.Agent.exo Dropper.Win32.Agent.ezo Trojan-Downloader.Win32.Agent.kht 4. Никаких других троянских программ, через которые вышеперечисленные файлы могли попасть в систему, не обнаружилось.
    5. Проверка выявила, что кроме троянцев свежую дату создания и модификации имеет файл FGUpdate3.ini (подчекнуты отличия от оригинального файла):
    [Add]
    fgres1.ini=1.0.0.1035
    FlashGet_LOGO.gif=1.0.0.1020

    inapp4.exe=1.0.0.1031

    [AddEx]
    [fgres1.ini]
    url=http://dl.flashget.com/flashget/fgres1.cab
    flag=16
    path=%product%
    [FlashGet_LOGO.gif]
    url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
    flag=16
    path=%product%


    [inapp4.exe]
    url=http://dl.flashget.com/flashget/appA.cab
    flag=2
    path=%product%


    Ссылка на файл inapp4.exe, являющийся троянцем, ведет на настоящий сайт FlashGet. Именно оттуда он загружался в виде appA.cab.
    6. «Уязвимость» существует во всех версиях FlashGet 1.9.xx. Никакой информации об инциденте на сайте FlashGet не обнаружено, полное молчание со стороны разработчиков.
    7. Несмотря на то, что на данный момент проблема с взломом сайта FlashGet решена, уязвимость в системе пользовательской безопасности остается. Любая троянская программа может изменить локальный ini-файл FlashGet, заставив его работать как троянец-загрузчик.
    8. Кому интересно, гугл знает где находится полный анализ ситуации специалистами Лаборатории Касперского.

    P.S. ссылки что-то не вставляются как надо???
    Share post

    Comments 38

      0
      Может быть кто-нибудь объяснит мне почему я не смог вставить ссылки в пост?????
      • UFO just landed and posted this here
        +6
        Используйте FDM http://www.freedownloadmanager.org/ и не знайте печалей. По функционалу ну ни граммом не хуже. А то, что FlashGet не самая чистая программа известно еще с самого его рождения.
          0
          да,действительно,довольно давно говорили,что такая фигня с ним вышла...
            0
            Как раз недавно перешел на него. Оказывается, не зря.
              0
              присоединяюсь к рекомендации FDM.

              еще расскажу историю: году в 99, когда только начинал пользоваться интернетом, поставил себе сломанный флэшгет, без принудительного показа баннера. (когда-то флэшгет был adware). пару часов он проработал нормально, потом вдруг раскрыл окошко с кнопкой ОК и такой надписью: "Ну что, ворованной программой пользуешься? Удачи!". после нажатия кнопки ОК программа закрылась и больше не запускалась.
                0
                Вы открыли мне глаза на жизнь! Срочно распространяю эту полезную софтину среди всех знакомых.
                  0
                  А еще есть виндовый wget...

                  ;) Кстати знакомым "виндузятникам" понравился;)
                    0
                    Сам им пользуюсь, но прекрасно понимаю тех, кому хочется качать в гуях. Иногда накпливается столько всего на выкачку (128кб канал, что поделать), что очень удобно манипулировать потоками по ходу пьессы - кого-то придержать, кому-то приоритет повысить, кого-то только на ночь включить, в гуях это таки поудобнее все. Ну и торренты, собственно, тоже удобно иметь все в той же софтине, что и простые http/ftp-закачки. (Конечно, есть aria2, но это уже совсем круто для обычного пользователя, имхо. =)
                      0
                      К сожалению, нашел только версию датированную 2002-ым годом(что, правда, не мешает мне успешно ним пользоваться). У вас есть источник с версией посвежее? (цигвин не предлагать)
                        +1
                        Не знаю как wget, но есть аналог, собранный и под винду, в том числе,- aria2 http://aria2.sourceforge.net/ в дополнение ко всем функциям wget, умеет тянуть с разных зеркал, в несколько потоков и по торрентам, все никак руки недоберутся маны на нее покурить...
                          0
                          Спасибо за наводку, будем пробовать.
                    0
                    Вообще то, здесь косяк вешать надо на компанию, поскольку они не обезопасились от элементарного взлома своего сайта, поскольку все вышеописанное было возможно исключительно из-за подмены конфигурационного файла на сайте, так что программа тут не причем, во всем виноваты как всегда люди...
                    • UFO just landed and posted this here
                        0
                        Зайди на сайт Л.К. там есть полная статья... и рекомендации.
                        • UFO just landed and posted this here
                              0
                              Ну в общем посмотри содержание файла FGUpdate3.ini, куда ссылается, и если куда-то не туда то перепиши как надо... сравни файл этот с частью кода написанного в статье...
                              • UFO just landed and posted this here
                                  0
                                  Волков бояться - в лес не ходить, просто нужно грамотно продумывать политику безопасности своего ПК, и почаще все проверять.
                                    +4
                                    Лучшая политика безопасности - не пользоваться Windows :)
                                      0
                                      Гораздо лучше использовать мозги, не не пользоваться Windows.
                                        0
                                        Вы хотели написать "Гораздо лучше использовать мозги, И не пользоваться Windows."? :)
                                          +1
                                          Не совсем. Я хотел сказать "чем не поль...".
                                          В нормальных руках и с нормальной головой даже ведро юудет прекрасно работать. Эт мое ИМХО.
                                            0
                                            Тока чаще выходит дырявое ведро в дырявых руках.. пользы мало зато мусора остается до..
                          0
                          о том что FlashGet шпионит известно уже оч давно
                          • UFO just landed and posted this here
                              0
                              ну я эту ссылку выше дал.
                              +3
                              не удивляет даже и молчание со стороны разработчиков...
                              банально, но все же лучше использовать провереные временем продукты например портированый под win платформу wget )
                                +2
                                Хм. Использую wget и никаких проблем =-)
                                  0
                                  да, флешгет что-то упал в моих глазах, хотя пользуюсь им очень давно. в последенее время у него стали появляться всё менее ненужные фичи, типа скачивания с еданки и торрента, ну и всякие сомнительные тулбары пытается мне втюхать.
                                    0
                                    Я троя словил на флешгете 1.8.x
                                    Чтобы флешгет больше никогда не ломился на сайт за обновлениями я убил fgupdate.dll
                                      +1
                                      FlashGet не нужен, юзаю Download Master. Не видел ни одного загрузчика, который так хорошо бы удерживал скорость на моём нестабильном соединении.

                                      Symantec тоже не нужен, ибо KIS
                                        –2
                                        Скучаю я по вирусам и троянам...

                                        Ubuntu/Firefox user
                                          0
                                          Вот кому как, а я флешгетом пользуюсь, наверно, с 98го года. То есть уже десять лет.
                                          Отменная программа, никогда не имел никаких проблем. Если нужно скачать один файлик по известному урлу (ну или там список урлов), конечно, почему бы не натравить wget. Но если требуется куда большее количество функций — ФлешГет, имхо, вне конкуренции. Одна из самых заслуженных программ в моей системе :)
                                            –3
                                            такая она - проприетарщина. а ведь Столлман предупреждал! :)
                                              0
                                              Хорошая замена флешгету - download master. Давно им пользуюсь.
                                                0
                                                " Любая троянская программа может изменить локальный ini-файл FlashGet, заставив его работать как троянец-загрузчик." ?

                                                Все это добро (флешгет и его ini) по дефолту при установке кладется %програм_файлс%, а там права на изменение есть только у админа и мощного юзера.

                                                Если сидишь с правами админа или пауэр юзера, то почему пинать надо именно флешгет? При таких раскладах, опять же, любой троянская программа может изменить любой (с незначительными оговорками) локальный файл, заставив его работать как троянец-загрузчик.

                                                Only users with full accounts can post comments. Log in, please.