Социальные трояны и продажные антивирусы

Введение 

Тема этого поста как вам это не покажется вам странным, является продолжением предыдущего. Как обычно, информация как то сама собой накопилась - тестил "Автоматические распаковщики инсталляторов" ну и накопал походу тестирования столько "дряни", что в ней можно пол рунета утопить. Начнем пожалуй с самого "вкусного" - так называемых социальных или государственных вирусов. Самые простейшие из них давным давно у всех на глазах, их никто и не скрывает - хомячки их сами ставят себе собственной рукой. Иногда по неграмотности, но чаще всего просто в спешке - ну не глянул толком какие галочки при установке снять нужно, влетели "спутники майл-ру", "яндекс-бары" и прочие нечисти. Ну а шпиона AlterGeoсливающий сведения о их местоположении им и без всякого спроса агент майл-ру влепит. В нем даже галочки такой нет, только "спутник" по желанию был, а о установке шпиона AlterGeo даже упоминаний не было - он сам влетал. Википедия на этот счет вас просветит - "отряд зомби" этого в кавычках "сервиса" насчитывает уже 900 тысяч "баранов" (или "ослов" - как вам больше нравится). Промолчит википедия только об одном - как им эту "медвежью услугу" устанавливали. А всех ли спрашивали?

Самый мощный из наиболее известных социальных троянов это бесспорно Яндекс-Диск. В обмен на 10 GB дискового пространства на его сервере доверчивые хомячки продают душу дьяволу устанавливая этого трояна. Поведение троянца "Яндекс-Диск" кстати очень похоже на довольно известного WebMoney Keeper Classic - он такой же бесцеремонный и наглый, работает только на других хозяев (кипер работает на эшелон) вот и вся разница. 
В данный момент времени эти троянцы настолько надоели обыкновенным рядовым пользакам, что "втюхать" их "на дурака" становится все сложней. В связи с этим "государственные вирусописатели" распространяющие подобную хуиту в срочном порядке перепаковывают ее в инсталляторы "без галочек". Наибольшая концентрация малвари как всегда находится на софтпортале, софтодроме и подобных государственных сайтах "якобы лицензионщиков". При попытке скачать там любую фриварную программу - например тот же 7-Zip Игоря Павлова Вы получите подобныйперепакованный файл с говеным троеным содержимым.

Как уберечься от троянов Яндекса и Мэйла 

Как я и писал выше, троянцы от яндекса народу уже онастапиздили, и в среде народных масс возникло "бурление говен" - Представьте себе мир, свободный от Яндексов и Мэилов! где предлагается скачать Яндекс.Бан.xml помогающий хомячкам предотвращать заражение компьютеров этой нечистью.

Для поиска этой дряни можно использовать простейшую фриварную утилиту AdwCleaner так как ВСЕ антивирусы эту дрянь В УПОР НЕ ВИДЯТ - им просто за все оплачено (PROFIT). Вот она:

Утилита AdwCleaner поддержки русского языка не имеет, но у нее простейший интерфейс. После запуска надо просто начать сканирование и дождаться окончания процесса, далее перед вами будет открыт блокнот с результатами. В общем все просто, думаю разберется даже чайник.

Изучаем трояна MediaGet 

Как я и писал выше, тема этого поста не случайна. Я бы не стал ее публиковать если бы не натолкнулся при переводе программы Total Recorder длянового поста по обработке звука (русик скоро выложу, обещал). Так вот, золотое правило русификаторщиков гласит: прежде чем переводить программу, убедись что ее перевод не поддерживает кто либо другой. Ну я и ПРОВЕРИЛ (других русиков в сети не обнаружил). Вот последняя версия 2011 года на Мси-Лабе от какого то вовава, и эта версия упакована в такой интересный инсталлятор... Забегая вперед скажу - это банальный троян, очень мощный, а сам сайт прославленных русификаторщиков Мси-Лаб затроен этой нечистью чуть более, чем наполовину. Вот ЕЩЕ ТРОЯНЫ.

Внешний вид троянского инсталлятора MediaGet:

Ну то, что такое троянцы Яндекса я мимоходом описал выше, так что останавливаться на них больше не будем. В данном случае нас интересуют не они, а сам троян MediaGet установка которого и будет произведена на компьютер попавшейся на крючок жертвы. Кстати - кто его распространяет:Скажи мне кто твой друг, и я скажу кто ты (народная пословица).

Краткое описание трояна MediaGet 
Самому мне было просто некогда тестить все гадости которые он устраивает на ПК хомячков и поэтому описание его действия я просто взял нафоруме Касперского. Вот оно: 

Сумма за установку этого вредоносного ПО была озвучена например ЗДЕСЬ (всего по 50 копеек за каждую скачанную/установленную копию). Что тут можно сказать - ИУДЫ. О тех, кто их покрывает будет рассказано дальше, а пока мы займемся препарацией нечисти т.е разберем ее на запчасти и рассмотрим из каких компонентов она состоит. Нужно же изучить засранцев.  

Разбираем трояна MediaGet на запчасти 

Итак, нам нужно препарировать трояна без его запуска в системе. Основные инструменты для распаковки инсталляторов я выкладывал на предыдущем посту. В данном случае мы имеем дело с банальным SFX-архивом (Self-extracting архив), поэтому можем просто попытаться раскрыть его с помощью обычного архиватора. Вот например как он будет выглядеть в 7-Zip Игоря Павлова:

Как видно на скриншоте, 7-Zip по дефолту "разодрал" его на сами так сказать комплектующие. То же самое произойдет, если распаковать его и с помощью привычного Universal Extractor, а нам хотелось бы для начала получить троянца в его первоначальной оболочке т.е MediaGet.exe. Методом простейшего подбора для этой цели подошел более слабый китайский архиватор HaoZip. Откроем инсталлятор MediaGet_id2737382ids1s.exeскачанный ЗДЕСЬ с помощью его:

Вот он и попался, который кусался  Сразу забегая вперед, скажу что извлеченный нами таким образом файл mediaget-admin-proxy.exe является не чем иным, как... КЛИЕНТСКОЙ ЧАСТЬЮ программы удаленного доступа для управления вашим компьютером! Как вам - не слабо? А вы то думали, откуда начинаются все эти заморочки, ВАМИ ПРОСТО РУЛЯТ  Где стоит серверная часть (ее вам нидали) надеюсь объяснять не надо?  

Кто покрывает государственные вирусы

Для начала отправим весь файл MediaGet_id2737382ids1s.exe на вирус тотал и просмотрим на результаты 46 борцов с нечистью. Результаты впечатляют, особенно преуспел в этом Касперский. Как вам понравится его фраза: not-a-virus:HEUR:Downloader.Win32.MediaGet.gen. Ай да Каспер, ай да сукин сын. Он не только не молчит, а наоборот ОПРАВДЫВАЕТ ТРОЯНЦА выдавая свой вердикт: НЕ ВИРУС. Вы думаете что он не знает, что это за файл на самом деле? Да все он прекрасно знает! Отголоски этого до сих пор можно найти в сети на разных сайтах. Например, еще в 2011 году тот же Касперский банил MediaGet, а сейчас спустя 2 года оправдывает. А знаете почему? ЕМУ ПРОСТО ЗАПЛАТИЛИ ЗА ЭТО, как впрочем и за многое другое. Каспер просто стрижет бабки как за то чтобы ДОБАВИТЬ В БАЗУ, так и за то, чтобы УБРАТЬ ИЗ БАЗЫ. Ну, а у кого денег нет, хотя это и не вирус можно им и сделать. Примеры? Да тот же PatchWise Free не несущий вирусов "на борту" за что и не любим вашими троянами (антивирусами по вашему) кстати русификатор для Total Recorder я выпущу именно в PatchWise Free т.к мне абсолютно насрать на ваших установленных троянцев. Кстати AVIR_е MediaGet пока не заплатил наверное ввиду не особой популярности ))

Почему антивирусы на самом деле трояны?

На самом деле все просто. Я уже частично писал про это верстая пост Все об антивирусах. Антивирусы давно перестали быть таковыми на самом деле по целому ряду причин: 
1. Неограниченная власть губит людей и дает чувство "полного контроля" над хомяками доверившими вслепую свою безопасность антивирусным бэкдорам. Соблазн был слишком высок... 
2. Методы используемые антивирусными бэкдорами на первых порах: сигнатурный, эвристический и проактивный безбожно устарели по целому ряду причин (могу огласить весь список по каждому пункту но он довольно велик). На смену им пришли новые методы как то: звонок по телефону (забанить или разбанить), сообщение на электронную почту (от тех же правообладателей например), денежный перевод (с припиской разумеется) или прямое указание из соответствующих органов (ФСБ). Дальше продолжать? Думаю не стоит)) 
3. В связи с тем, что в России "во главе угла" как и у проклятых капиталистов тоже поставили "денежную купюру" и отменили статью за спекуляцию назвав эту гадость бизнесом наши бизнесмены тоже пустились с некоторых пор во "все тяжкие" и с их стороны было бы глупо обирать оброком только хомячков, так большие деньги не сделаешь. А аппетиты у антивирусных бэкдорфов прямо скажем нехуевые. 
4. Всемирный шпионаж за пользователями в связи с повальной компьютеризацией достиг таких ужасающих размеров, что походу сейчас не шпионит только ленивый. Наезд со стороны Российских спецслужб на антивирусников был увы неизбежен. Они давно уже у них на службе.

Для тех, кому это интересно - вот сертификат выданный ФСБ например тому же Касперскому: 

Для тех, кто в танке или на бронепоезде объясняю суть. Такие лицензии просто так, за "красивые глаза" в России не дают. Примером этому может служить например та же Циска которой в нашей стране укомплектованы все провайдеры. Это самый распространенный маршрутизатор одобренный кем бы вы думали? У вас возникла правильная мысль, кстати криптографические решения Cisco тоже одобрены (значит ключики от нее у ГЭБНИ получены). Почему же сии продукты сертифицированы нашей гэбней? Ответ прост до безобразия - в них на уровне железа установлен СОРМ. А вы как думали? Дальше продолжать, или свои мысли в голове все таки появятся на эту тему? Кстати, по рейтингу журнала Wired фээсбэшник Касперский занял 8 место в списке Самых опасных людей в мире. 
О том, что Антивирусы в настоящее время практически полностью утратили былую значимость хомячкам писал уже давным давно знаменитый Российский хакер Крис Касперски. Тем, кто не читал эту старую статью советую ее внимательно прочесть, и тогда вы просто будете посмеиваться над терминами типа "антивирусная эвристика" и прочими пи-ар бреднями от антивирусных бэкдоров. Их давно гнать в три шеи надо с ваших PC, а вы их ставите.

Как отследить троянов-антивирусов 

Отследить троянцев - антивирусов не так уж и сложно. Для того чтобы узнать что они отправляют сведения о вас "налево" вне зависимости от установленных у вас галочек в ПО (отправлять/не отправлять) достаточно поставить всего лишь хороший сетевой сниффер (все руки не дойдут обзорную статью по ним сделать), и просто посканить им. Бяда только в одном - для быдла снифферы увы темный лес, а трояны-касперские "рулят" и от чего то там их спасают. Как прочту такую хуйню на каком нить форуме - ржу не могу))

Возможно в будущем выложу тему троянцев - антивирусов отдельным постом т.к сейчас просто лишен возможности сделать скриншоты на эту тему за неимением ваших сраных антивирусов на борту. Давно этой дрянью не пользуюсь, но как нить перед переустановкой системы можно и поиздеваться на эту тему будет )) Особого интереса правда нет - перехват в свое время я делал только самого факта передачи антивирусным бэкдором, а само сообщение увы было естественно закриптовано что само по себе кабэ намекает)) 

Цитата Википедия

используются преимущественно вирусописателями

Да мы в этом и не сумневались - ими самыми (Касперский и компания)  

Послесловие 
Наш портал и дальше будет периодически освещать темы информационной безопасности. Что посоветовать хомячкам далее? Честно говоря, не имею ни малейшего понятия - всех под одну гребенку не причешешь, народ разный. Да и плевали они на все эти советы с высокой колокольни - им же пох. На днях видел у кого то из пользователей на Генином сайте красивую фразу в юзербаре: 
Дурака не научишь быть умным, его можно только чему нибудь научить... Все коротко и ясно, без комментариев как говорится)) 
Советы - да пару штук в принципе могу дать: 

Кто давно ходит по рунету и юзает антивирь - для интересу вспомните, когда он вам помогал. Если много лет ходите и припомнить не можете - вы не безнадежны, чистоплотны, следите за собой и за системой, посещаете только проверенные ресурсы и.тд. тогда вам стоит подумать, а не снести ли его к едрене фене и просто сконфигурировать нормально ОСЬ (не так как у всех). 

Любителям софта - тут пожалуй проще всего. Софт можно брать и с офф-сайтов (тех что хорошо знаете), а те же кряки на него скачанные с варезов можете для интереса отправлять отдельно на virustotal - там уже максимальный размер загружаемого файла аж 64 МБ стал, можно не то что кейген, а крокодила загрузить и проверят его целых 46 троянцев сразу, а не ваш один. НО... эффективность та же - 0% вам просто отказаться от привычного использования этой дряни (антивируса) станет легче. Для тестирования софта можно использовать и виртуальные машины - их никто не отменял, так же как и теневые программы. 

Геймерам - а вы увы обречены на этих троянов и думать вам об отказе от них неуй поскольку игры идут огромных размеров, все файлы на virustotal поодиночке не перекидаете (заипетесь), а троянов в них такое море что просто ужжас - те же игровые защиты типа StarForce по сути дела являются теми же троянами и недалеко ушли от той же Themid_ы используя технологию rootkit'ов. Так, что вы к сожалению единственная категория которой это надо, впрочем как и все другое - новейшие говеные оси, высокопроизводительные процессоры INTEL (каждый раз меняющие сокеты чтоб вы бабло выкидывали), а не AMD (с его AM2, AM2+ и AM3), постоянные апгрейды, многоядерные процессоры, 64-битные оси и прочее говно. 

Любителям пошастать по интернету (мне в том числе) - а зачем по сети вообще на винде ходить если есть та же безопасная убунта? Не вижу смысла! Я не призываю всех сносить винду, а ставить линь т.к. привык на компе всегда держать несколько ОС сразу (у меня даже винда всегда на 2х-3х логических дисках дублирована). Тот же Acronis OS Selector входящий в состав Acronis Disk Director_а позволяет держать на винте аж 100 операционок сразу.