Потратив в общей сложности почти два часа на поиск источника проблем, и дойдя до белого каления от его изворотливости и стремления повторно прописаться куда только можно в системе, решил чистку автоматизировать. Для чего написал на С++ небольшую утилиту, куда внёс все обнаруженные «хвосты» зловреда, чтобы не чистить их по сотому разу.
Так и зародился проект «Чистилка». Постепенно добавляя новых зловредов, обнаруженных у мамы, папы, сестры, друзей и других, не сильно технически, подкованных юзеров. Разрекламировав программу на работе, я неожиданно получил поддержку своего начальника и друга в виде возможности тратить некоторое количество рабочего времени на доведение программы до ума. В марте вышли в паблик, что позволило собирать базу зловредов автоматически и увеличить за счет этого качество чисток.
По приходящим жалобам мы обнаружили что самым «ненавистным» зловредом является комплекс ПО от компании Mail.Ru. Которая агрессивно действует на поприще зловредов для захвата как можно большей части пользователей в свою экосистему. Начиная с установки «Защитника Mail.ru» и запретом менять поисковую систему и заканчивая выдачей своих электронных подписей сомнительным партнерам. Не спорю, у Mail Ru Group есть и хорошие сервисы (например, Cloud.Mail.Ru), но в данной статье я говорю только о их темной стороне.
Антивирусы, как правило, не реагируют на зловредов, так как формально это не вирусное ПО. И пользователь часто сам дает согласие на его установку, не заметив «галочку» в каком-нибудь установщике. За примером далеко ходить не надо.
Зоопарк зловредов достаточно широк и разнообразен, из самых популярных совершаемых действий можно выделить:
- установка расширений в популярные броузеры
- замена стартовой страницы
- подмена поисковой системы
- подмена ярлыков браузеров
- внедрение баннеров и js скриптов на страницу
- отключение обновлений браузеров
- установка «своего» браузера по умолчанию
- установка ПО, настойчиво требующего оплаты какого-то непонятного функционала
- установка freemium игр без спроса пользователя
- установка своих драйверов в систему для перехвата и модификации трафика
Вот так, например, выглядит Хабр на зараженной машине:
На данный момент в России 57 миллионов пользователей интернет, по нашим данным заражено зловредами порядка 12% — это огромная армия юзеров, на которых зарабатывают не чистые на руку производители софта.
За последние 30 дней мы помогли более 27 тысячам людей, проведя более 50 000 очисток.
У 70% установивших себе «Чистилку» мы обнаруживаем и удаляем вредоносы.
Вот отзывы некоторых из них:
Я представляю себе аудиторию хабра, как достаточно подкованных в IT людей способных очистить систему от подобных напастей. Но есть несколько «но»:
- трата времени (на мой взгляд самый важный пункт)
- отсутствие физической возможности приехать в ближайшее время к зараженной машине и провести квалифицированную чистку
И поэтому предлагаю хабраюзерам попробовать Чистилку.
Сайт программы: chistilka.com
P.S. если есть зловред — присылайте дистрибутивы, exe с файлопомоек, зловредные расширения и тому подобное на нашу почту support@chistilka.com
UPD: Чистилка изначально является portable версией. Установка требуется только для включения автоматической проверки при загрузке системы.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (63)
Yavanosta
07.08.2015 14:24+1Прикольно конечно, но через неделю будет полный интернет сайтов «почисти компьютер от вирусов» которые будет ставить вирусы. Как сейчас обновлялками браузеров, флэщ плеера и т.п.
AraneusAdoro
07.08.2015 15:40+8«Будет»? Никогда не видели поп-апы а-ля «Ваш компьютер заражён вирусами!!» или «Обнаружен вредоносный файл в C:\Program Files\. Удалить?»?
7313
07.08.2015 14:44+9исходник бы еще в комплект :) или хотя бы список производимых действий — все равно ж бесплатно раздаете. А то ведь самые злобные зловреды как раз и маскируются под такие вот чистилки…
petro_64
07.08.2015 15:06+3Свободное ПО и открытое ПО это разные вещи. Бесплатность не подразумевает автоматическую выкладку исходного кода.
Действия Чистилки просты:
— поиск и анализ процессов зловредов для их последующего удаление
— поиск «плохих» расширений для браузеров
— откатывает в настройках браузеров изменения внесенные зловредом
Yaruson
07.08.2015 15:44Прежде всего, спасибо вам за полезный и удобный инструмент! Положил на полочку рядом с Unchecky :-)
Как насчёт электронной подписи к распространяемому EXE'шнику? Это помогло бы защититься от возможных подделок.petro_64
07.08.2015 16:43Спасибо.
О цифровой подписи думал, но острой необходимости пока не было. И стоит достаточно дорого, чтобы покупать ради «пусть будет»Yaruson
07.08.2015 17:08В первую очередь это вопрос доверия пользователей, почему бы не озаботиться об этом до того, как случится что-то плохое?
60$ на два года в StartSSL — не очень много по-моему, как для частного лица, так и для организации. Можно и правда донатом собрать.
CTpaHHoe
08.08.2015 00:17+1действительно жаль, что исходники не выкладываете.
хотелось бы поучаствовать в подобном проекте. а свой велосипед изобретать нет желания
petro_64
07.08.2015 14:44Не пришло в голову прикрепить к статье скриншот самой программы. Исправляюсь.
Выглядит Чистилка так
norlin
07.08.2015 15:10+2А как же Spybot – Search & Destroy? Для Винды ничего лучше не видел, по крайней мере, старые версии. Сейчас туда ещё антивирус запихали, ещё что-то, не знаю. Но старая версия всё ещё доступна: www.safer-networking.org/mirrors16
PocketSam
08.08.2015 15:10+1Что на счет Malwarebytes AntiMalware? Сканирует быстро, удаляет почти всю пакость за крайне редкими исключениями, базы обновляются регулярно. Несколько лет чистил им клиентские ПК по работе или знакомым по запросу. Ручное вмешательство после 10 минут сканирования программы обычно уже не требуется.
Лично мой фаворит.
thunderspb
07.08.2015 15:41+1Выглядит стильно-модно-молодежно :)
— Как оно определяет зловред-незловред? Ну и про расширения тоже самое.
— каким образом вычищает? записи в реестре тоже подчищает?
— тот же Baidu тоже сумеет вычистить?
— какие браузеры поддерживаются?
— удаляет все молча или можно выбрать что удалить и что оставить?
— на каких версиях виндов работает (не знаю сильные ли различия в структурах xp-vista-w7-w8-w10)
Скриншотов работы не хватает, на сайте не нашел ничего такого.
зыж на чем форум сделан? :) и, кстати, ссылка Справка не работает.petro_64
07.08.2015 16:16+1— ищет по наработанной базе и немного эвристики
— останавливает процессы, удаляет файлы, реестр тоже чистит
— да, baidu удалять умеет, но нужно учитывать, что зловреды не стоят на месте и часто обновляются
— IE, Chrome, Firefox, Opera, yandex-browser, другие браузеры chrome-based
— после сканирования предлагает отметить элементы к удалению
— XP и выше
Скриншоты есть на странице инструкции chistilka.com/how_to_use.php
vBulletin. Спасибо за отзыв — поправил.thunderspb
07.08.2015 16:19Спасибо. Еще бы ответ на вопрос ниже по политике конфеденциальности.
Про скриншоты — там только скриншоты настроек, сам процесс и отчет не освещен, поэтому и спросил. Описаний про «предложит» не нашел.
Yaruson
07.08.2015 15:55+8Разъясните, пожалуйста, первую часть пункта «Использование информации» из Политики конфиденциальности:
Chistilka использует Ваши Персональные Данные в целях предоставления пользователям сервисов и потребностей и интересов пользователей.
Вообще, документ в целом вызывает некоторое беспокойство у моего внутреннего параноика :-)
Также, мы можем использовать, в том числе и сообщать третьим лицам по собственному усмотрению, IP-адрес или другие идентификаторы устройств, для идентификации пользователей, и можем использовать их в сотрудничестве с третьими лицами, такими как владельцы авторских прав, Интернет-провайдеры, поставщики услуг беспроводной связи и/или правоохранительные органы, в том числе разглашения такой информации третьим лицам, все на наше усмотрение. Такое разглашение может осуществляться без предварительного уведомления.
petro_64
07.08.2015 16:34+1Собираемая информация носит технический характер и хранится в обезличенном и агрегированном виде.
Мы не храним персональные данные и не собираемся этого делать. Соблюдаем 152-ФЗ
Сбор статистики нам необходим для развития и поддержания качества сервиса. Без обратной связи не получится быстро отслеживать обновления зловредов.Yaruson
07.08.2015 17:05+4> Собираемая информация носит технический характер и хранится в обезличенном и агрегированном виде.
Хорошо, это «Неперсонифицированные данные», о которых также говорится в Политике, к этому вопросов нет. Однако, что значит «в целях предоставления пользователям сервисов и потребностей и интересов пользователей» по-прежнему не понятно.
>> Мы не храним персональные данные и не собираемся этого делать.
“Персональные данные” означают информацию, связанную с Конечным Пользователем имя, персональные идентификаторы или другую информацию, которая может быть разумно использована, чтобы идентифицировать Вас лично, такие как ваш адрес электронной почты, номер мобильного телефона и др.
Чистилка не будет продавать, арендовать или сдавать в аренду Ваши персональные данные третьим лицам за исключением случаев, описанных в настоящей Политике конфиденциальности.
Мы не передаем Ваши персональные данные третьим лицам без Вашего предварительного на то согласия за исключением случаев, предусмотренных законом...
Не храните, но собираете, используете и можете кому-то передать.
Зачем? Неужели для технических целей недостаточно обезличенных данных?
Также, мы можем использовать, в том числе и сообщать третьим лицам по собственному усмотрению, IP-адрес или другие идентификаторы устройств, для идентификации пользователей, и можем использовать их в сотрудничестве с третьими лицами, такими как владельцы авторских прав, Интернет-провайдеры, поставщики услуг беспроводной связи и/или правоохранительные органы, в том числе разглашения такой информации третьим лицам, все на наше усмотрение. Такое разглашение может осуществляться без предварительного уведомления.
Не знаю, относится ли что-либо из перечисленного к персональным данным, но звучит это очень сомнительно.
Запросил по электронной почте подробности о собираемой информации.petro_64
07.08.2015 17:18+1Сам я не юрист и спорить с вами не могу.
Спасибо за ваши комментарии. На письмо отвечу.
petro_64
07.08.2015 17:06+2Вообще подумал, попрошу юриста переработать данный раздел, чтобы он стал менее «людоедским».
Beholder
07.08.2015 15:56+14Кто все эти люди? И почему им можно доверять?
Где гарантии, что кроме чистки чужого, оно не установит что-то своё?
Отызвы? Отзывы мог написать специально обученный Вася.
lola_term
07.08.2015 16:02+4Чем лучше AdwCleaner? даешь сравнение со всем софтом, что есть в доступе ориентированным на такие проблемы, по-гиковски будет.
petro_64
07.08.2015 16:55+2Тем, что команда Чистилки знает специфику российских зловредов лучше, чем зарубежные компании.
lola_term
07.08.2015 19:47+1Протестировал вашу чистилку, ничего не нашла, это конечно верно :)
Но собственно даже не показало прогресс поиска — чего же она конкретно она искала, сейчас больше напоминает на фейковые антивирусы если честно по дизайну да и в целом, если бы не ваша статья и общий обзор так и не смотрел бы даже в ее сторону…
Сравниваю опять же с адваре, ккликенр и тд — вижу что находится в базе для очистки… т.е. пока сравнивать даже сложно, просто вам на заметку — а привыкши к ручной чистке и найдя после AdwCleacner был рад — привык к нему, могу отслеживать и контролировать очистку определенных папок, файлов, служб, ярлыков, реестра, назначенные задания, браузерные плагины, надстройки и т.д. (мало ли что забыл упомянуть), в общем самое удачное для вас решение мне думается будет совместить чистку адваре, рекламы и системы/дампов памяти, кусков файлов, и тд в целом…
Тогда это будет поистине замечательная разработка, плюс не мешало бы в опен сорс проект — сейчас к пропиетарным продуктам не коммерческого назначения относятся с опаской :)
Плюс ко всему не имеет достоверной цифровой подписи, права админа сразу требует… многие на это косо посмотрят.
А в общем удачи и всех благ вам и вашему проекту. Надеюсь мои комментарии наведут уже на какие то мысли.petro_64
07.08.2015 20:59Первая цель для меня — это простота в использовании. И я не вижу смысла перегружать обычного пользователя технической информацией.
Перечисленный вами функционал в Чистилке присутствует.
И после сканирования позволяет выбрать, что конкретно удалить.
petro_64
07.08.2015 21:07Интерфейс и процесс поиска максимально упрощен, с самого начала задавался целью именно о создании однокнопочной утилиты для максимально простой работы. Такую утилиту можно отдать соседке-блондинке чтобы она перестала постоянно звать почистить ей компьютер :-)
Да, о проблемах недоверия и отсутствии подписи я знаю, буду думать как решить вопрос. Спасибо вам за отзыв!lola_term
07.08.2015 21:33С передачей такого софта соседкам-блондинкам вы поспешили…
Все же было бы круто включить расширенный интерфейс ;)
lola_term
07.08.2015 20:30+2При закрытии скрылась в трей, не уведомив даже, в настройках нашел этот пункт однако… в системе остался висеть открытый локальный порт 19399. Может при первом запуске хотя бы спросить чего желает пользователь?
Посмотрим подробнее может он еще и отстукивает куда нибудь при запуске %)
ага фаервол заблочил исходящий TCP h1net91-105-232-116.h1host.ru на порт 7118, после как не получилось попробовал пройтись через локальный 80ый порт… разрешать не стал, мало ли бекконнект какой нибудь повешается %)
Зачем и куда оно стучит?)petro_64
07.08.2015 20:51Порт 19399 нам раньше был нужен для взаимодействия с расширением Google Chrome, пока не научились чистить его более корректно. В любом случае этот порт наружу не смотрит и биндится на интерфейс localhost.
Исходящий запрос 7118 — наша статистика. Там обычный http, посмотрите любимым анализатором. Стаистика содержит в себе обезличенные данные об объектах и результатах чистки, так мы пытаемся обнаруживать новые тенденции зловредных трендов. Да, брандмауэр ругается на нестандартный порт, это как говорится «так исторически сложилось», т.к. в то время сожительствовал с другими сервисами. В следующем релизе обязательно перенесу на 80-ый.petro_64
07.08.2015 21:01И, забыл указать, при старте Чистилка пытается загрузить свежую базу зловредов.
lola_term
07.08.2015 21:26+2Спасибо за ответы! оперативненько)
А что если люди не хотят участвовать в статистике? некоторые даже технические данные могут содержать информацию об конфиденциальном, частном используемом программном обеспечении либо коммерческом не публичном…
Analitik_Telecom
07.08.2015 16:51+1А RDP-клиент за что в чистилище попал? (
petro_64
07.08.2015 16:58пришлите скриншот в личку
очень часто зловреды маскируются под легитимный софт или заражают их exe файлыAnalitik_Telecom
07.08.2015 22:44Не снял( Но точно RDP был. Запускал на офисном с установленным и активным Касперским. Завтра домашний прочекаю, как раз что-то пару раз мерзкая видеореклама в новой вкладке открывалась.
6a6ypek
07.08.2015 17:16>У 70% установивших себе «Чистилку» мы обнаруживаем и удаляем вредоносы.
Так она требует установки или нет? На офсайте написано, что не требует.
petro_64
07.08.2015 17:29+1Чистилка изначально является portable версией. Установка требуется только для включения автоматической проверки при загрузке системы.
MaximChistov
07.08.2015 17:41А как, кстати, собираетесь деньги зарабатывать? Тот же юрист вряд ли забесплатно работает.
petro_64
07.08.2015 17:53В данный момент все необходимые ресурсы предоставляет упомянутый в статье друг. Это не финансирование деньгами, а выделение времени специалистов компании, серверных мощностей и тому подобное.
Юрист также работает на него и просто выделил немного времени для написания юридических документов к Чистилке.
Kalobok
07.08.2015 18:16Что-то не так со шрифтами в настройках. На первой же вкладке вижу чекбоксы «Сворачивать пр» и «Защита от повторной у». Места в окне достаточно, но надписи обрезались. И так выглядят все настройки.
Lertmind
07.08.2015 23:25+1У вас случайно не стоит настройка «Удобство чтения с экрана» (масштабирование) выше 100%? Если да, то попробуйте правый клик на exe -> Свойства -> Совместимость -> установите флажок Отключить масштабирование изображения при высоком разрешении экрана.
Kalobok
08.08.2015 00:56Нет, масштабирование отключено. Единственное, что могло повлиять — я смотрел на это дело через remote desktop. Позже проверю локально, но сильно сомневаюсь, что это оно.
Holms
07.08.2015 21:00+9Извините конечно, но пока не увижу исходники никому рекомендовать не могу. Обжигался не один раз на таком.
Ведь никто не отменяет ситуацию когда тотже маил.ру заплатит вам и вы будете пропускать ихнии подделки.
ivanych
07.08.2015 21:00+7У меня вопрос к администрации: не является ли сей пост неприкрытой рекламой в непрофильном разделе?
kacang
08.08.2015 05:52Искренне желаю вам удачи с проэктом!
Не боитесь кункуренции с established игроками? Ведь как я понимаю, в этой среде главное — база сигнатур, а у них она уже есть и большая…
galaxy
08.08.2015 14:19+3Святой человек — лечил гадость, написал
скрипт, решил поделиться… стойте, С++? Для задачи, где cmd хватит? Нет исходников? Она в автозагрузку хочет и какие-то обновления может скачивать? Домен, сайт, EULA, Политика конфиденциальности, компания Софт-Эксперты?
Я вам не верю.
Кнопки «Мы в социальных сетях» на самом деле делают Share — как некрасиво!
UksusoFF
08.08.2015 14:28+1Хотя бы список удаляемого ПО было бы неплохо посмотреть… Или каких-то тестов, типа такого.
Putin
Святой человек, спасибо большое.