Pull to refresh

Скачай себе Adware от Агавы

Information Security *
Скачиваете вы себе файлик, а он в самораспаковывающемся архиве. Запускаете exe'шник, открывается вроде WinRar (очень похожее окно на вид), распаковываете себе файлик и забываете. Но через время со всех дыр начинает лезть реклама, которую непонятно как отключить потому что не ясно, откуда она вообще взялась.
Казалось бы, классическая схема впаривания адвари, живет уже много лет и ничем не примечательна. Но в России решили сделать по-другому. Адварь теперь одобрена местными антивирусами, распространением практически официально занимается довольно крупная и известная компания.


Чуть больше года назад, мне постучал один из партнеров и сказал что кто-то там хочет у меня размещать вирусы и платить за это деньги. От предложения сходу отправить такого коммерсанта лесом удержало только то, что он назвал себя представителем Агавы и что их вирус вроде как одобрен Касперским и отлавливаться им не будет. Мне стало интересно, как такое может быть и я разрешил дать свои контакты, чтобы пообщаться непосредственно.

В ICQ постучался некий Avaks, который назвался Михаилом Ильином, директором по чем-то там в Агаве. Кратко рассказал о том, что предлагается:
Я пакую все файлы на сайте их архиватором, получаются exe'шники, которые при распаковке похожи на WinRar так, что пользователь и не заметит разницы. При распаковке всплывает окошко, где среди кучи текста есть маленький абзац о том, что пользователь нажимая «продолжить» соглашается поставить себе некий рекламный модуль, который сможет потом удалить. После нажатия «продолжить» юзеру ставится этот модуль, который где-то через сутки начинает показывать рекламу. Мне, мол, пойдут денежки за клики, со временем юзеров, что скачали вирус с моей рефкой станет много, кликов пойдет немеряно и вообще можно заработать мильйон очень быстро и не напрягаясь. А так, как реклама будет только через сутки после установки рекламного модуля, то никто и не допрет, откуда она вообще взялась.

На мои вопросы, типа, зачем же это мне добровольно гробить свой ресурс, почему Агава не использует свой ifolder.ru и как вообще публичная компания может впаривать вирусы мне сказали, что ресурс я не угроблю потому, что реклама у них жутко релевантная и пользователь будет только доволен от того, что она будет показываться. Ифолдер не используют потому что типа еще не готова интеграция (на сколько я знаю, она и сейчас не готова:), а потом будут предлагать пользователям сжимать свои файлы этим чудо-архиватором, а по поводу вирусов, так это вообще не вирус, там типа есть деинсталятор и вообще все это добро одобрено в лаборатории Касперского и их антивирус на рекламный модуль не реагирует.

При этом, вопрос о том, хотят ли они просто подставить конкурентов (в моем лице) или они просто впечатлились тем, как летитбит их за пару месяцев обогнал и решили попробовать развиваться теми-же методами, вызвал гневную тираду. Типа сравнение с летитбитом даже оскорбительно, мол у нас тут деинсталятор есть и вообще это совсем не адварь, просто рекламный модуль, который юзер сам соглашается ставить. А конкурентов они подставлять не хотят, и вообще они для них не сильно интересны и работать планируется с mp3 сайтами, тут просто я под руку подвернулся и т.д.

Итого, беседа длилась около часа, меня убеждали (пользователи — говно, какая тебе разница, тут деньги платятся итд), угрожали (мы пойдем к твоим конкурентам, они заработают кучу денег и выживут тебя с рынка), долбили фразами о том, что это у них не адварь, что они на всю голову легальные и вообще несут доброе и вечное. Закончилось тем, что я пообещал автоматически определять наличие их адварей в файлах и удалять файлы вместе с юзерами, что их залили и прекратил диалог.

Я проникся русскому стилю наебизнеса, даже натыкался на сайты с их адварью, но настал кризис и в общем-то эта история как-то забылась (видимо, в кризис решили активность не проявлять). Ведь вполне мог кто-то левый назваться Михаилом Ильином, вести диалог в его стиле (читал после этого несколько раз его посты на roem.ru) и вообще вешать лапшу.

Продолжение она получила сейчас, когда в форму обратной связи накидали предложений заработать кучу денег, но на этот раз были реферальные ссылки и судя по стилю письма, работа явно школьников каких-то. Ссылки вели на сайт tmaproject.ru, зайдя и прочитав несколько абзацев я сразу вспомнил прошлогодний диалог, убедился что писал мне реально представитель Агавы и адварь действительно их:






На этот раз, правда, модуль открыто называется adware, расширился список антивирусов, которые не ловят этот модуль: «Так, в «Лаборатории Касперского» TMAgent классифицируют как AdTool – безопасная программа, показывающая рекламу. Также безопасность TMAgent подтверждается его отсутствием в в базах таких известных антивирусов, как DrWeb, NOD32, Panda Antivirus, AVG, Avira, Ad-Aware и многих других.»

Наверное, в честь кризиса антивирусы снизили цены на игнорирование вирусов, Агава и решила расширить список=)

Удивляет два момента:

1. Неужели в России можно легально впаривать адварь? Понятно, что юзер типа сам ставит, и что, вроде как, удалить можно, но это ж явное мошенничество. Такое-же, как у смс лохотронов, по-сути.

2. Зачем пользоваться антивирусами, которые пропускают мимо такого плана софт?
внизу дополнение по этому поводу

Интересно было бы посмотреть на рекламодателей, что покупают рекламу в этом адваре. Вполне реально, что им продают какие-то там клики на вполне легальной тизерке, а на самом деле, генерируют переходы таким вот образом.

Еще очень интересно было бы послушать официальные комментарии от самой Агавы и от Лаборатории Касперского, которая вроде как должна делать софт, что защищает от подобных программ.

З.Ы. Люди, работающие в Лаборатории Касперского говорят, что небыло никакого игнорирования этого модуля, что их антивирус не ловил его исключительно из-за отсутствия у них семпла. На данный момент, adware модуль отлавливается последними версиями софта и бояться нечего.
Видимо, Агава про Касперский придумала сама, пользуясь тем, что их модуля какое-то время небыло в базе.
Tags:
Hubs:
Total votes 137: ↑131 and ↓6 +125
Views 2.5K
Comments Comments 194