Давно проверялись на вирусы/adware/spyware?

    В процессе подсчета вот этой статистики по Хабру обнаружил, что как минимум у 950 хабралюдей (~2.5% от всех читающих Хабр, если считать, что распределение равномерно) в системе живет Adware-вредитель под называнием AdCentriaIM. Он оставляет след в user-agent браузера, что и позволило его обнаружить. Полное описание, и как избавиться написано — здесь. Подавляющая часть болеющих — Windows/Firefox.

    Вот так выглядит типичный user-agent:
    Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.13) Gecko/20080311 AdCentriaIM/1.7 Firefox/2.0.0.13

    Я не знаю правильно ли я поступаю, написав этот топик, но просто так сидеть сложа руки тоже как-то не могу, как еще донести это до людей?



    Upd. Спасибо zencd за ссылку на ресурс, где можно посмотреть на свой user-agent
    Upd2. А вот проверочная картинка-скрипт от v_k



    Upd3. те у кого эта живность нашлась — отписывайтесь пожалуйста в комментариях, если вам не трудно. Понимание того, что всё не напрасно — очень приятно. Спасибо :)
    Upd4. Я решил, что в каждом своем топике буду вставлять скрытую проверку на эту живность.
    Поделиться публикацией
    Комментарии 122
      +3
      Да вроде нету… Все равно спасибо за инфу ;)
        +4
        Попасть в 2.5% не так просто )

        +2
        Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.4) Gecko/2008111902 Gentoo Firefox/3.0.4
        Уфф нету ;)
          +1
          Я думаю такой строчкой проще было бы удивить — Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.4) Gecko/2008111902 Gentoo AdCentriaIM/1.7 Firefox/3.0.4
          Ведь ясно, что приложение для винды.
            +4
            Тока не смейтесь — экземпляр из базы:
            Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.1.18) Gecko/20081118 AdCentriaIM/1.7 Firefox/2.0.0.18
              –2
              Я могу в эту строку что угодно написать =)
              0
              Эээ… я если честно не поверил, что кто-н из линуксоидов может себе поставить вирусное расширение:)
              «Подавляющая часть болеющих — Windows/Firefox.» — я думал, это просто сказано не так.
              Что касается меня, то я вообще думаю, что у тех, у кого написано фф 3.0.4 или 2.0.0.18 должны срочно обновиться.
                +2
                Кстати интересно — а расширения FF кроссплатформенны сами по себе?
                Я имею ввиду, что если тупо папку с ними перенести из FF под Windows в соответствующую папку FF под Linux — то они заживут?

                У меня просто опыта такого нет — я не знаю возможно ли это в принципе.
                  0
                  да
                    +2
                    Тогда кажется понятно, как появились немногочисленные Линухи с этой заразой :)
                      0
                      Да всеравно неочень. ФФ не дает ставить неизвестно какие расширения. Для этого пользователь должен был отличиться умом и сообразительностью.:(
                        0
                        :) Я когда-то так делал. Просто папку с профилем переносил.
                      0
                      Заживут, но не все. Есть platform-specific расширения.
                    0
                    А какая последняя заражённая версия лисы (судя по вашей базе)?
                      0
                      Самая последняя — 3.1b2, из релизных — 3.0.5
                  0
                  о, а это я.
                  0
                  сказал бы мне ещё кто-нибудь, зачем у меня Ubiquity в юзер-агент вписался, я ж его удалил:(
                  –16
                  с Оперой — как в танке (:)
                    +13
                    Такая уверенность — слабое звено в безопасности
                      +2
                      однако за всё время её использования (а это лет 5) я ни одной заразы не подцепил через браузер
                      +3
                      Я тоже так думал, пока однажды не подцепил вирус на ровном месте.
                      И это с установленным NOD'ом, правда, защита интернет была отключена.
                      Как говорится — «ничего не сделал, только зашел».
                        0
                        Поделитесь информацией, что ж за вирус такой? :)
                        Сколько везде лазию — всё чисто в этом смысле. Хотя никаких резидентных антивирусов, веб-фильтров и новомодных HIPS у меня не установлено. Может ещё дело в частоте обновлений?
                          0
                          Какой был вирус — я не знаю, файл процесса назывался рандомным именем.

                          Отличительный признак — в качестве скринсейвера устанавливает «Синий экран смерти», есть такой скринсейвер, ну, вы знаете как он должен выглядеть. Видел такой же в результате работы вируса на другом компьютере (не моём).

                          Оперу всегда использую последнюю,
                          НОД лицензионный, тоже обновляется автоматически.
                          НОД, собственно паниковал, что на компьютере во временных файлах браузера появился зараженный объект, иначе я бы может и заметил бы не скоро, но противостоять запуску нового процесса в системе — не смог :/
                            0
                            Да, подцепил бродя по верезному сайту, сомнительного содержания.
                              0
                              Я на таких по несколько раз в неделю бываю, проблем не замечал. :)
                              Но сдаётся мне, что дело всё же не в самом браузере. Одно время были критические уязвимости в WMP и Flash Player плагинах, допускающие удалённое выполнение кода. А этот набор так или иначе у большинства установлен.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          но, согласитесь, куда меньше критических и даже средней опасности, чем в IE, Firefox и Chrome
                            +5
                            Так и подмывает холивар устроить? Успокойтесь
                          +1
                          ну да, только уязвимости есть в PDF и Flash плагинах, а они кроссбраузерные
                          +6
                          Помню такую, если не ошибаюсь — эта штука ставится с каким-то софтом. У меня, в частности, с CoolIris поставилась. И подозреваю, что где-то в пользовательском соглашении, которое я как обычно принял не читая, была информация об AdCentriaIM.

                          Это не вирус, если чо :) не пугайтесь особо.
                            +1
                            Дело скорее не в том опасен он или нет. Ведь он же может быть верхушкой айсберга, найденной случайно, да еще и не самим пользователем, а мной, хрен знает где :)
                              0
                              Ага, я вот DirectX скачал откуда-то с этой хренью. Появляется розовый инсталлятор с галочкой что я согласен поставить их «Интернет-помощника». Ну и удалил я помощника через Установку/Удаление, без труда. Тем более, что встраивается он только в IE (возможно Firefox)
                                0
                                > Ага, я вот DirectX скачал откуда-то с этой хренью.

                                рантайм? вот такие вещи уж точно лучше всего с офсайтов качать…
                                  0
                                  вот такие вещи уж точно лучше всего с офсайтов качать…

                                  с DaemonTools официально подобная ерунда шла бандлом… :(
                                    0
                                    и с DivX 5-ми тоже пытались впарить нечто подобное ЕМНИП
                                0
                                ну подумаешь — легальный вирус :)
                                  +1
                                  Легальные вирусы только у британский полисменов.
                                +8
                                Однако, вирусы/adware наглые пошли. Скоро начнут в welcome screen прописываться.
                                  +5
                                  я этого и касперскому-то не простил…
                                    +2
                                    требовать обновления за деньги и активацию :))
                                    +4
                                    Проверить user-agent → whatsmyuseragent.com
                                    +1
                                    Из «Установка/удаление» уже давно срубил это животное. Не знал, что и в браузере что-то делает. Победил. Интересно, что whatsmyuseragent.com запоминает твои посещения и показывает в следующий раз и предыдущие Useragent. Так вот, после удаления этого зверя предыдущие записи тоже показал как чистые =).
                                      0
                                      Как говориться «Не будь параноиком, кому ты нафиг нужен?» =))
                                        +2
                                        Спамерам.
                                          +2
                                          Мошенникам, от вашего лица клянчащим деньги.
                                          ДДоСерам.
                                          0
                                          Opera/9.62 (Windows NT 5.1; U; ru) Presto/2.1.1 — You!

                                          будем верить, что чист
                                          но сдать анализы не помешает)
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                              –7
                                              Предлагаю банить с такими юзерагентами.
                                                –21
                                                На своем айфоне такой строчки не нашел… Видисо, этим вирусом я не заражен :).

                                                P.S. Извините, юзер-агент не привожу, уж больно он длинный…
                                                  0
                                                  Ладно-ладно, простите за лень, вот это чудо:

                                                  Mozilla/5.0 (iPhone; U; CPU iPhone OS 2_2 like Mac OS X; ru-ru) AppleWebKit/525.18.1 (KHTML, like Gecko) Version/3.1.1 Mobile/5G77 Safari/525.20

                                                  Тут и вирусов не надо…
                                                  0
                                                  Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1b2) Gecko/20081201 Firefox/3.1b2
                                                  Вроде все чисто.

                                                  P.S.
                                                  По осени вырезал какой-то агент, показывающий рекламу, название не запомнил… Причем поставился и в IE и в FF. Заметил, когда при загрузке FF вылезло окошко, что установлено новое расширение (FF респект)
                                                    0
                                                    Полное описание, и как избавиться написано — здесь.

                                                    AdCentria InfoBar
                                                      0
                                                      В смысле, для удаления этой гадости не обязательно что-то править в about:config, достаточно удалить расширение AdCentria InfoBar
                                                        +1
                                                        для выпадания из 2,5% — да. Но для удаления все же нужно что-то удалить :)
                                                      0
                                                      Чего-то эта проверка user-agent'а не отвечает. Видать, упала под напором хабралюдей.
                                                        +1
                                                        А нет, ожил. Хабр — в лидерах referral'ов ((:
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                          +1
                                                          Спасибо, удалил, правда так и не вспомнил с чем оно могло установиться.
                                                            +39
                                                            Написал скриптик скриптик, который показывает на картинке заражены вы или нет

                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                0
                                                                А как выглядит скриптик для зараженных?
                                                                    0
                                                                    Блин, а чего он юзерагент то мой показывает с сообщением «Я заражен...»? Я уж было испугался…

                                                                    Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.0.5) Gecko/2008120121 Firefox/3.0.5
                                                                  +1
                                                                  Добавить бы его сразу в пост!
                                                                    +1
                                                                    Добавил в топик. Но под кат — не хотелось бы, чтобы скрипт умер от нагрузки.
                                                                    Я кстати тоже такой сделал сначала, он даже повисел немного, но потом чета дернуло убрать, подумал мало ли, соврет.

                                                                    Кстати уже 82 человека с этой адварью прочитало топик. А отписалось только двое :)
                                                                      +1
                                                                      82 разных айпишки?
                                                                        +1
                                                                        угу, теоретически их может быть даже больше, т.к. за одним ip может сидеть несколько человек с одним юзерагентом — для меня это один юзер (в посте про статистику про это написано)
                                                                        0
                                                                        Хабралюдям стыдно признаваться, что подцепили вирус ))
                                                                      +1
                                                                      NoScript защищает ^^
                                                                        +1
                                                                        Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.2) Gecko/2008092422 Gentoo Firefox/3.0.2
                                                                        Чист =)
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                            0
                                                                            Хммм… а собственно, почему это вирус? Я всегда думал, что вирусы прячут намного лучше…
                                                                              0
                                                                              вирус или не вирус, зависит не от того, как прячется, а от того, как размножается. Плагин к ФФ — это не вирус.
                                                                              0
                                                                              Чистенький *)
                                                                                0
                                                                                Все чисто :)
                                                                                  +1
                                                                                  И whatsmyuseragent.com/ упал… =))
                                                                                    0
                                                                                    Уже поднялся. Всё-таки «Хабр — не Digg» :-)
                                                                                    0
                                                                                    Фух, пронесло в хорошем смылсе этого слова :)
                                                                                    Чист вроде. Кстати, в качестве антивирусной программы пользуюсь Авирой
                                                                                      +1
                                                                                      Теперь здоров, спасибо.
                                                                                        0
                                                                                        Вот черт!
                                                                                        P.S. Все равно лисом пока не пользуюсь, но спасибо, сяду на диету, вколю антибиотик и пройду полное обследование.
                                                                                          0
                                                                                          Утилита CureIT (http://www.freedrweb.com/cureit/) от DrWeb умеет лечить практически все известные версии этой заразы, так что кому влом лечиться ручками, может это сделать за два клика при помощи этой тулзы :).
                                                                                          Причем DrWeb считает эту гадость трояном.
                                                                                            0
                                                                                            Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1b3pre) Gecko/20081229 SeaMonkey/2.0a3pre

                                                                                            Не болеем…
                                                                                              +2
                                                                                              Все, моя лиса полностью здорова… (:
                                                                                              До этого, месяца полтора назад, обнаружив сию болячку антивирусом, лечил традиционной медициной — снос необычной новой программы в «Program Files», удаление среди дополнений в самом браузере и снос из «установки/удаления программ» Проще говоря, где нашел ее следы, там и снес… (:
                                                                                              но оказывается не долечил… Сейчас подправил config — и вуаля, мой лиса полностью исцелена от подобной заразы… (:
                                                                                              автору большое спасибо за полезную информацию! (:
                                                                                                +5
                                                                                                Я заражен… Щас буду удалять. Спасибо за этот пост!!!
                                                                                                  +1
                                                                                                  Mozilla/5.0 (X11; U; SunOS i86pc; ru; rv:1.9.0.4) Gecko/2008111710 Firefox/3.0.4

                                                                                                  Спасибо. Пока все хорошо.
                                                                                                    0
                                                                                                    Я здоров!!! :)))
                                                                                                      0
                                                                                                      Все начинается здесь — www.mycentria.com
                                                                                                      + еще распространяется через один из файлообменников — там все залитые файлы запакованы в инсталятор => и вместе с нужным файлом вы получаете установленный тулбар от mycentria
                                                                                                      Антивирусы называют это ПО адваре (точно могу сказать про CureIT), в сущности ничего старшного не происходит, это всего лишь еще один тулбар.
                                                                                                        +1
                                                                                                        Это не просто тулбар. Опишу один из эффектов. Например вы кликаете по какой-нибудь ссылке в выдаче гугла и попадаете хрен знает куда, с явным несоответствием тому, чего искали. Визуально это выглядит как будто вы реально вот так перешли по ссылке. Если вернуться назад и кликнуть на ней еще раз — попадаете куда надо. :)

                                                                                                          0
                                                                                                          Я познакомился с этой штукой около месяца назад, когда скачивал одну из программ удаленного администрирования с файлообменника(писал выше про инсталятор). Потом заметил присутсвие в системе процесса которого быть не должно, все почистил вручную. До серфинга с установленной micentria дело не дошло.

                                                                                                          Все подробности, к сожалению не помню ;)
                                                                                                          Знаю только что САМ не снял галку «Установить интернет помошник» в красивом окне при установке скачанного файла.
                                                                                                            0
                                                                                                            Это только один из путей заражения. Из обуждения на форуме, который по ссылке:
                                                                                                            Скачал, провёл опыт самозаражения. Оказывается, для облегчения шпионажа эта дрянь пихает в Firefox своё расширение «AdCentria InfoBar». Плохо, что в Firefox 2 установка расширения происходит незаметно для юзера. Firefox 3 по крайней мере информирует (лишний повод для обновления!).


                                                                                                            У меня тоже когда то была эта дрянь — я абсолютно точно не «не снимал» галочек и вообще не видел никаких упоминаний помощников или чего то подобного. Как она попала в систему — осталось для меня загадкой
                                                                                                              +1
                                                                                                              посмотрите что я нашел, топ был опубликован еще пол года назад. Там тоже есть интерестная информация.
                                                                                                              habrahabr.ru/blogs/i_am_clever/28461/

                                                                                                              =)
                                                                                                                0
                                                                                                                Спасибо. Клёво да, древняя история :)
                                                                                                                Заметьте — пострадавшая тоже ничего не ставила.

                                                                                                                Вообще интересный подход у её хозяев — нестандартный. Вроде как и вредная программа, но по честному удалить можно, да еще интересуется — «нафига удаляете, чем не угодила» :))
                                                                                                          +1
                                                                                                          Материал из Википедии:

                                                                                                          Adware (англ. Ad, Advertisement — реклама и Software — программное обеспечение) — программное обеспечение, содержащее рекламу.

                                                                                                          Вид программного обеспечения, при использовании которого пользователю принудительно показывается реклама.

                                                                                                          Примером такой программы может служить «родной» клиент ICQ (в отличие, например, от клиентов QIP, Miranda IM, Kopete и т.д.).

                                                                                                          Также adware называют вредоносное ПО, показывающее рекламу (чаще всего — в интернет-браузере).

                                                                                                          Т.е. не такое уж оно и безвредное и доставляет пользователю массу неудобств.
                                                                                                          +1
                                                                                                          Хоть я и здоров, но спасибо.
                                                                                                          Отличная идея, и её исполнение.
                                                                                                          Всю бы заразу так просто ловить.
                                                                                                            +1
                                                                                                            Хм, у меня заразы не обнаружено. Возможно она берется из установленных надстроект на Огнелисе, необходимо у зараженных узнать, какие у них надстройки и найти общее. В принцыпе ведь заражение возможно через различные плагины, темы и т.д., или их проверяют, прежде чем выложить?

                                                                                                            Интересно узнать, как именно ты, узнал о 800 зараженных?
                                                                                                              0
                                                                                                              Уже 850 :)
                                                                                                              Я статистику периодически пересчитываю, и обновляю топик. Сама же статистика взята вот отсюда
                                                                                                              0
                                                                                                              Opera/10.00 (X11; Linux x86_64; U; ru) Presto/2.2.0
                                                                                                              Никаких проблем и не ожидалось
                                                                                                                0
                                                                                                                Спасибо большое. Как ни странно, нашел у себя эту заразу. Хоть и стараюсь избегать сомнительных сайтов.
                                                                                                                  0
                                                                                                                  У меня чисто. Автору спасибо за топик!
                                                                                                                    0
                                                                                                                    Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 всё чисто)
                                                                                                                      0
                                                                                                                      Может быть провериться и на наличие других «микробов»?
                                                                                                                      Не подскажете чем можно прошерстить?

                                                                                                                      (стоит нод, обновляется регулярно)
                                                                                                                        0
                                                                                                                        лично я для проверок использую cureit
                                                                                                                          0
                                                                                                                          Да, её я использую для лечения пострадавших.
                                                                                                                          но вроде есть спец, заточенные именно под различных руткитов и адварей.
                                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                          –3
                                                                                                                          Ламеры на Хабре?
                                                                                                                            0
                                                                                                                            эм… я тут зашла по скрипту, сказал, что заражен. но как бы так намекнуть, что ничего из подгруппы AdCentriaIM у меня нет?) вообще :) на в jc, ни в мозилле не написано. неустановлено ничего лишнего тоже :) это глюк? ;)
                                                                                                                              0
                                                                                                                              user-agent какой?
                                                                                                                                0
                                                                                                                                Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 — You!
                                                                                                                                0
                                                                                                                                В общем суть такова — если скрипт написал вам, что вы заражены, значит у вас в строке юзерагента присутствуюет сигнальная строка «AdCentriaIM» — в ее наличии вы можете убедиться на самой же картинке — на ней юзерагент же написан. Появиться она просто так не могла, значит если вы категорически уверены, что у вас ничего нет — значит было раньше, но было удалено, а юзерагента не поправили/не сбросили. Как это сделать написано по ссылке на описание adware в топике. Сделайте это — и все пройдет.

                                                                                                                                Но я бы проверился на вашем месте дополнительно каким-нибудь антивирем, на всякий случай, например cureit-ом
                                                                                                                                  0
                                                                                                                                  нетути :) ну вот хоть помри, а нету :) только картинка о заражении) щас вот доктором вебом, habrahabr.ru/blogs/infosecurity/48626/#comment_1263089 отсюда взятым проверила глубоко — все равно ничего нет :) и той твари, и других) не знаю что и делать)
                                                                                                                                    0
                                                                                                                                    хм… скрипт не мой, я не знаю… вы можете принтскрин показываемой вам картинки о заражении показать (можно в ЛС)
                                                                                                                                      0
                                                                                                                                      Может Вы не по той ссылке пошли? Надо вот по этой www.webtask.ru/misc/AdCentriaIM.php
                                                                                                                                        0
                                                                                                                                        сейчас и там, и в посте зеленые :) черт знает, может машина за ночь отдохнула?)
                                                                                                                                  0
                                                                                                                                  Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/1.0.154.36 Safari/525.19


                                                                                                                                  Жив здоров.
                                                                                                                                    0
                                                                                                                                    Спасибо, нашел вирус и избавился от него. Посмотрел на дату установки обновления — аж 10 октября. Видимо хорошо, что я наконец-то решил сменить старенький крякнутый НОД на бесплатный Аваст. Он нашел парочку вирусов после НОДа и этот выявил, когда я его удалять начал.
                                                                                                                                      0
                                                                                                                                      Хе… спасибо, ребята, за информацию.
                                                                                                                                      Я вчера заметил, что установилось это дополнение. Я подумал, что это какое-то расширение ADBlock Plus, но заблокировал до выяснения обстоятельств. Сегодня же увидел, что он включен. Удаление не помогает, только анинстал программы. при удалении хорошо так ссылают на www.mycentria.com/uninstall.php?Message= где убеждают в кошерности продукта :)
                                                                                                                                      NOD 3 не нашел при установке это ADW, но при удалении радостно оповестил, что видит их :)

                                                                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                      Самое читаемое