По роду деятельности мне приходится наблюдать за работой сотен рядовых пользователей ПК. Человек, который не первый день держит мышку, всё чаще сталкивается с проблемами при банальном скачивании бесплатного ПО. При разборе выясняется, что он всего лишь набрал в Яндексе «скачать Вайбер», а дальше что-то пошло не так. Я давно слежу за распространением заразы при непосредственном участии Яндекса. Когда-то это были единичные случаи, но теперь явление уже приобрело массовый характер. Объясню, в чём суть. Введём в запросе название любой популярной программы, которую условный домашний пользователь хочет скачать, и получим примерно такую выдачу:
Каждая строка с пометкой «реклама» — это платное объявление от физического или юридического лица, которое зарегистрировано в сервисе Яндекс.Директ со всеми адресами, телефонами и прочими ИНН. Каждое такое объявление проходит ручную модерацию, то есть, в данном случае модератора вовсе не смутил тот факт, что пять разных «официальных» сайтов подали рекламу для скачивания бесплатного приложения. И уж точно проверенный модератором номер (495) 111-22-33 не принадлежит Скайпу.
И, что самое интересное, порядок выдачи разных объявлений по одному запросу определяется аукционом. Если не вдаваться в подробности админки Директа — кто выставил бОльшую стоимость клика, того показывают выше. Да, каждое нажатие на такую ссылку обходится автору объявления в N рублей! За что именно борются рублём рекламодатели — неизвестно, вариантов много: от относительно безобидного майнинга криптовалюты на чужом железе до перехвата платёжных данных из Сбербанк.Онлайн или Алиэкспресса. Но логично, что альтруизмом здесь и не пахнет.
upd2 На двух предыдущих скринах результаты поиска прокручены, чтобы нижний рекламный блок оказался рядом с запросом.
На Директе мошенничество не заканчивается. Ниже обычная поисковая выдача без рекламы по запросу «anydesk» — популярного приложения от бывшей команды TeamViewer. anydesk.com — это настоящий сайт, который и должен вылезать первым по данному запросу. А уже второй результат (с точка ru) — фэйк. Достаточно одного взгляда на этот одностраничный сайт с морально устаревшим клипартом, чтобы понять, что перед нами подделка, нарисованная на коленке за 15 минут. НО только не для модераторов Яндекса. Обратите внимание: адрес этого сайта содержит заглавные и строчные буквы (AnyDesk, а не anydesk). Такое возможно только в одном случае: автор сайта зарегистрирован в сервисе Яндекс.Вебмастер и прошёл ручную модерацию на изменение регистра символов в адресе этого «официального сайта».
Помойка в выдаче повторяется для любого ПО, которое только приходит в голову, хоть платного, хоть бесплатного. Приписка «официальный сайт» положение не спасает, а популярная среди начинающих пользователей фраза «скачать бесплатно» наоборот только помогает попасть на поддельный сайт. Чудесные алгоритмы ранжирования Яндекса, которые совершенствуются каждый день, помогают подозрительным сайтам лезть выше. А как показывает практика, неопытный пользователь обычно жмёт первый результат поиска, доверяя лучшему отечественному поисковику.
И ещё немного про Директ. Сервис позволяет таргетировать рекламу по разным признакам. Например, показывать её только жителям Кировской области мужского пола в возрасте от 25 до 45 лет. Это удобно для честной рекламы, скажем, магазина электроинструмента. Или можно показывать её только пользователям браузера Internet Explorer. Последние обычно ассоциируются с неопытными пользователями ПК, поэтому за такого «чайника» можно заплатить и побольше: рекламная ссылка в примере ниже вылезает даже выше искомого официального сайта. Этот запрос сделан в Internet Explorer, в альтернативном браузере рекламный блок здесь не появляется.
upd3 Проверим теорию с таргетингом: заходим под *nix, и всю платную рекламу по тем же запросам как рукой сняло — такие пользователи точно зря потратят стоимость клика.
Что делать с этой информацией? Ограничивать права учётных записей на компьютерах родственников, и объяснять, что верить никому нельзя.
И вопрос к Яндексу, если этот текст до него дойдёт: вы собираетесь как-то решать эту проблему?
Массовость проблемы подтверждает статистика запросов wordstat.yandex.ru: по каждому из ключевых слов тысячи и десятки тысяч ежемесячных запросов.
upd Изначально похвалил Гугл, но в комментариях меня поправили. Google занимается тем же самым (установленная баннерорезка скрыла эти результаты).
upd4 В комментариях появился ответ от представителя Яндекса:
Каждая строка с пометкой «реклама» — это платное объявление от физического или юридического лица, которое зарегистрировано в сервисе Яндекс.Директ со всеми адресами, телефонами и прочими ИНН. Каждое такое объявление проходит ручную модерацию, то есть, в данном случае модератора вовсе не смутил тот факт, что пять разных «официальных» сайтов подали рекламу для скачивания бесплатного приложения. И уж точно проверенный модератором номер (495) 111-22-33 не принадлежит Скайпу.
И, что самое интересное, порядок выдачи разных объявлений по одному запросу определяется аукционом. Если не вдаваться в подробности админки Директа — кто выставил бОльшую стоимость клика, того показывают выше. Да, каждое нажатие на такую ссылку обходится автору объявления в N рублей! За что именно борются рублём рекламодатели — неизвестно, вариантов много: от относительно безобидного майнинга криптовалюты на чужом железе до перехвата платёжных данных из Сбербанк.Онлайн или Алиэкспресса. Но логично, что альтруизмом здесь и не пахнет.
upd2 На двух предыдущих скринах результаты поиска прокручены, чтобы нижний рекламный блок оказался рядом с запросом.
На Директе мошенничество не заканчивается. Ниже обычная поисковая выдача без рекламы по запросу «anydesk» — популярного приложения от бывшей команды TeamViewer. anydesk.com — это настоящий сайт, который и должен вылезать первым по данному запросу. А уже второй результат (с точка ru) — фэйк. Достаточно одного взгляда на этот одностраничный сайт с морально устаревшим клипартом, чтобы понять, что перед нами подделка, нарисованная на коленке за 15 минут. НО только не для модераторов Яндекса. Обратите внимание: адрес этого сайта содержит заглавные и строчные буквы (AnyDesk, а не anydesk). Такое возможно только в одном случае: автор сайта зарегистрирован в сервисе Яндекс.Вебмастер и прошёл ручную модерацию на изменение регистра символов в адресе этого «официального сайта».
Помойка в выдаче повторяется для любого ПО, которое только приходит в голову, хоть платного, хоть бесплатного. Приписка «официальный сайт» положение не спасает, а популярная среди начинающих пользователей фраза «скачать бесплатно» наоборот только помогает попасть на поддельный сайт. Чудесные алгоритмы ранжирования Яндекса, которые совершенствуются каждый день, помогают подозрительным сайтам лезть выше. А как показывает практика, неопытный пользователь обычно жмёт первый результат поиска, доверяя лучшему отечественному поисковику.
И ещё немного про Директ. Сервис позволяет таргетировать рекламу по разным признакам. Например, показывать её только жителям Кировской области мужского пола в возрасте от 25 до 45 лет. Это удобно для честной рекламы, скажем, магазина электроинструмента. Или можно показывать её только пользователям браузера Internet Explorer. Последние обычно ассоциируются с неопытными пользователями ПК, поэтому за такого «чайника» можно заплатить и побольше: рекламная ссылка в примере ниже вылезает даже выше искомого официального сайта. Этот запрос сделан в Internet Explorer, в альтернативном браузере рекламный блок здесь не появляется.
upd3 Проверим теорию с таргетингом: заходим под *nix, и всю платную рекламу по тем же запросам как рукой сняло — такие пользователи точно зря потратят стоимость клика.
Что делать с этой информацией? Ограничивать права учётных записей на компьютерах родственников, и объяснять, что верить никому нельзя.
И вопрос к Яндексу, если этот текст до него дойдёт: вы собираетесь как-то решать эту проблему?
Массовость проблемы подтверждает статистика запросов wordstat.yandex.ru: по каждому из ключевых слов тысячи и десятки тысяч ежемесячных запросов.
upd Изначально похвалил Гугл, но в комментариях меня поправили. Google занимается тем же самым (установленная баннерорезка скрыла эти результаты).
upd4 В комментариях появился ответ от представителя Яндекса:
Всем привет!
На Хабре меня достаточно давно знают как автора публикаций про технологии Яндекса, поэтому я вызвался добровольцем ответить на этот пост. Кроме того, мне уже приходилось рассказывать про то, как вообще работает дистрибуция софта в индустрии.
Во-первых, Яндекс сотрудничает только с теми компаниями, которые производят или распространяют ПО на легальных основаниях. Это касается и рекламы в выдаче. Вы можете возразить: но ведь на скриншотах неофициальные сайты. Суть в следующем.
Неофициальность сайта с программой в абсолютном большинстве случаев не означает, что он вредоносный. Разработчики ПО как правило заинтересованы в том, чтобы их продукты также распространялись через сайты партнёров. Для них это увеличение загрузок, а для партнёров — проценты от доходов разработчиков.
Во-вторых, как верно подметил автор, Яндекс проверяет такие объявления. Не только вручную, но и с применением наших технологий в области антифрода. Собственно, в комментариях уже подметили, что ни по одному из примеров нет однозначного вердикта о вредоносности со стороны каких-либо сканеров и баз данных. Эти примеры мы тоже перепроверили на всякий случай. Никаких признаков вредоносной деятельности там нет.
В общем, всё не так страшно. Но если вы видите что-то подозрительное, то можете сообщить об этом поддержке Яндекса или лично мне — проверим.
vilgeforce
Насчет «вредоносного» вы, наверное, погорячились. А вот куча ненужного овна в комплекте или Adware там вполне может быть…
etozhesano
Почему вредоносного там не может быть? Я когда полусонный скачал программу не с официального сайта, а с какого-то фейка, то мне на комп уже готовились троянчики залететь только так. Благо на моменте UAC я всё же очнулся
vilgeforce
Может быть там все что угодно, даже невидимый розовый единорог. Но утверждать о наличии чего либо без явных доказательств — такое… Ценность статьи с анализом скачанного, объяснением чего и как — значительно выше для всех
Sayaka
Понимаю ваш скептицизм, однако вот вам, например, по одному из этих сайтов отчёт вирустотала:
www.virustotal.com/gui/url/61d2ba2e9552989b05e246446c8aef4875d99442073771427103aa59483e6744/detection
vilgeforce
3/72, не особо авторитетные вендоры… Это больше похоже на фолс, так-то :-)
Я все же сделаю то, чего не сделал ни автор, ни комментаторы.
Качаем с приведенного сайта один «Красный антивирус», получаем Inno Setup-инсталлер. Распаковываем и в одном из полученных файлов видим ссылку /api/offers/671/D4B905D8-25B5-850F-EC7F-C3C69D55A489 где, в целом, и написано что при установке будет ставиться. Ничего «вредоносного» в скачанном приложении не видать, к слову. Хотя и чистоплотным данный способ назвать сложно.
withkittens
Ну то есть вы защищаете это говно. А зачем?
vilgeforce
«Все подвергай сомнению», во первых.
Почему бы не сподвигнуть широкую общественность разобраться что же именно там происходит, кто за этим стоит — во вторых.
Но, похоже, сомневаться в генеральной линии партии — нехорошо. А разбираться во всей этой кухне — еще и сложно. В том числе поэтому ничего Яндекс и не изменит
eugenk
Можно конечно, только хлопотно это. Зловредную функциональность очень легко спрятать. Так что разбираться придется ручками, с помощью иды, радара-2, гидры и т.п. Денег мне за это денег увы не платят, а чем кормить семью — думать надо. Для меня куда достовернее разница в размерах. Тут вон ниже пишут, что официальный инсталлятор скайпа весит 66 мегабайт, а скачанные файлы — от 2 до 5 на разных сайтах. Так что даже серому лесному ёжику понятно, что это всё что угодно, но только не скайп. А что конкретно — уже дело вирусных аналитиков. От себя скажу, что вряд ли что-то хорошее.
Cerberuser
Ну, технически, это может быть веб-установщик, который вытянет искомую программу уже с официального сайта (плюс, да, пачку троянов от автора).
vilgeforce
Спрятать легко, а еще проще говорить что она там есть без каких-либо доказательств ;-)
s3ct0r
Как и Ваши заявления, а точнее заступничество, политику директа им все же стоит пересмотреть, а не денег с куста рубить. С УВ…
vilgeforce
Мое заявление относительно URLов и их содержимых как раз очень легко проверить, но кто это сделал?
Tufed
Тут не может быть одноходовочки вообще никак. Отсутствие вредоносных модулей в исходных дистрибутивах просто необходимо. Иначе сайты быстро забанят за распространение вредоносов. Поэтому дистрибутивы должны быть чистыми как стеклышко, проходить все проверки вирустотала и сайт тоже проходить эти проверки и всё такое. А задайтесь вопросом: а зачем кому-то создавать копии официальных дистрибутивов и распространять? альтруизм? желание помочь людям найти хорошее ПО? еще и продвигать свой сайт за деньги чтобы быть в выдаче выше официального сайта. Зачем тратить деньги? К сожалению вокруг денег всё и крутится. Это ПО может просто содержать лишние dll-ки или содержать модифицированный конфиг обновляться с неофициальных источников, или иметь в составе дополнительный ssl сертификат. Что такое ПО загрузит через день? Как себя поведёт через неделю? Что и кому начнёт пересылать из ваших данных и при каких условиях? Всё это проверять долго, муторно и не даст 100% гарантию проверки. Оно может сработать при входе в определенный банк-клиент, или получить команду от командного сервера и начать ДДОС нужного объекта в сети, а может ничего и не делать чотбы не вызвать подозрений, через недельку скачать «доброе» обновление и содержать уже всё что нужно и т.д. Всё ограничено только фантазией и умением разработчиков этого софта. Я охотно верю, что разбираться можно и нужно. Но я больше доверяю варезному софту потому что варез хотя бы ломают и ломаный выкладывают в общий доступ. В этом есть хотя бы смысл. И я допускаю что варез может иметь такие же закладки, но осознанно иду на этот риск, т.к. это дешевле чем покупать софт. То есть возможные закладки в варезе — это плата за ломаную версию. А делать копию бесплатного и выкладывать, и силиться обогнать оригинал своей копией — это крайне подозрительно. Я такому поведению не доверяю.
vilgeforce
Поскольку широкая общественность до данной ветки комментов все равно не дочитает… Короче, у Яндекса похоже есть приватная партнерка, где за установку Яндекс-* платят бабло. По крайней мере именно такой вывод я делаю из XML с его "--partner 7983" для яндекс-софта. И вы совершенно правы — инсталлеры чисты, те кто это держит получает деньги, вероятно, с Яндекса. Вопрос в том, почему яндекс так поступает?
JerleShannara
Прямо мейлрушным амиго со спецагентом запахло.
vilgeforce
Оно и неудивительно, у них тоже была такая партнерка тесно связанная с LoadMoney. Настолько тесно, что в один момент трой оказался подписан сертификатом mail.ru ;-)
qyix7z
sasha_alesin
Очевидно же — на этих сайтах везде куча рекламы понатыкано, на ней их создатели и зарабатывают. Условно, ты платишь Яндексу 5 рублей за клик, а человек, переходя на твой сайт, смотрит там ещё тонну рекламы пока скачивает — ты получаешь 10 рублей. Это же очевидно, почему никто про это не написал?
sumanai
В конкурентных областях стоимость клика по рекламе может идти за сотню рублей. А просмотр рекламы сейчас дай Бог 3 копейки принесёт, почти везде оплата за клики, если не за покупки после клика.
Так что банально кредит с дебетом не сходятся.
madCreator
Да прав защитник. Такую политику Яндекса диктуют законы рынка. Яндексу это тупо выгодно в чисто финансовом смысле.
Именно вредоносного ПО в такой выдаче мизерное количество и вероятнее всего, его стараются банить.
В основном же там говношлак с AdWare в т.ч. и с яндексбраузером. Удивительно, правда? Яндекс не борется с адваром со своим же браузером!
Формально AdWare не запрещён, каждый волен выбирать, ставить его или нет. У людей бизнес налаженный, в законном русле.
Более того, выгодно это и производителям софта, которые разрешают интеграцию в инсталяторы своих про адварь. Если б им это не нравилось, как минимум рекламы бы не было такой.
Я это говно всей душой ненавижу, но по факту победить его можно только серьёзнейшими коллективными усилиями. Нужно объединяться, создавать некую общественную организацию и выводить её силами адварь из законного поля. Других работающих способов нет.
Ar20L80
Есть некоторые плюсы у яндекса — их браузер очень быстрый.
Однако из недостатков — очень агрессивная рекламная политика и навязывание не нужных сервисов и рекламы. Есть альтернатива яндексу, но выбор не очень велик: Google(тоже монополия почти с теми же недостатками), duckduckgo — альтернативная, безопасная система поиска. Что касается безопасной почты, то protonmail точка com. Но всякая безопасная почта медленнее обычной.
Пользователю приходится принимать решение самостоятельно при наличии такой возможности у конечного пользователя.
dimm_ddr
Proton не то чтобы сильно медленнее гугловой почты. Гугл много лет старательно работает над замедлением своей почты. Так что про безопасная медленее обычной — это еще большой вопрос. Да и яндекс, пока я им пользовался тоже любил запилить новое обновление которое замедляло почтовую морду раза в 2-3. Но у них хотя бы иногда улучшения были.
madCreator
Про современный мир нужно понять одну простую вещь — пока капитализм имеет место быть, любые попытки людей защитить себя, свою приватность, свои права и т.д. на индивидуальном уровне обречены на провал.
Капитализм — это про деньги, соотв. если собирать инфу про людей выгодно корпорациям (а им выгодно), их ничто не остановит, кроме коллективной борьбы людей.
Только коллективная борьба за свои права и интересы имеет шансы на успех.
Если кто-то думает, что он сам лично как самый умный поставит ТОР или будет использовать «безопасный» поисковик duckduckgo, или что «безопасная» почта protonmail его от чего-то там защитит, это наивность высшей меры. До поры оно, возможно, и будет работать. Но есть нюанс!
Всё это допускается к существованию, либо пока оно нишевое и интересно только узкой группке людей, такой, что статистически ими можно пренебречь, либо существует под негласным контролем. При малейшем намёке на массовый интерес оно будет пресечено незамедлительно. Вспомните Пашу Дурова, которого американские спецслужбы взяли за рога и направили в стойло.
atbuhw
eugenk
Биткойн просто оказался очень к месту и очень вовремя.
vtozr8899
Биткойн годами валялся ненужным, а потом на него обратили внимание. И ни в тот, ни в другой период сломать его работу спецслужбам не удалось.
eugenk
У меня самый большой вопрос — А ЛОМАЛИ ЛИ ??? Для самих спецслужб это инструмент идеальный. Вобщем рискую быть тут заминусованным, но к битку и т.п. у меня отношение мягко говоря очень неоднозначное. Да и сама технология блокчейна вызывает немало вопросов. Например такой — сколько будет весить база данных, если в системе будет хотя бы миллиард пользователей.
vtozr8899
Про то, ломали ли, с достоверностью никто сказать не может, кроме них самих, понятное дело. Но вот к Дурову со всеми проблемами безопасности телеграма у меня доверия ещё меньше, чем к битку.
А что хорошего в битке для спецслужб? Мне кажется, возможность анонимно переводить деньги им как раз мешает.
eugenk
Понимаете, грань между спецслужбами и организованной преступностью настолько тонка, что там сам черт не разберет ху из ху. Про скандал Иран-контрас слышали? Как раз было в годы моей юности. А ведь это благословенные 80-е, когда столь откровенного бл@дста ещё в помине не было! С Дуровым и т.п. там дело несколько другое. Просто некие персонажи в одной ну ооочень передовой стране, деградировавшие совсем уж до уровня амёб, решили что стали равными Господу. И решили что могут (и должны !) наложить лапу вообще на всё. Так их в «международном клубе» и перестали уважать. В 90-е там ещё оставались профессионалы. Сейчас — нет. 20 лет непрерывной деградации это не шутка.
vtozr8899
Не уверен, что понял, о ком вы, но при любой интерпретации я не понимаю, почему эти рассуждения проходят для BTC и не проходят для GRAM.
eugenk
А что Вас смущает? Будет и грам, как есть биток. Просто у определенных людей есть определенные интересы. Придуркам из-за неумеренного служебного рвения вставшим у них на пути, очень быстро и очень доходчиво объясняют истинное положение вещей.
vtozr8899
Извините, я уже ничего не понимаю в ваших рассуждениях. Я говорю, что вы не правы, просто ничего не понимаю. С другой стороны, я допускаю, что у вас есть какая-то причина говорить намёками, а не открытым текстом, поэтому объяснений не прошу.
eugenk
По-моему всё предельно открыто. Ладно, попытаюсь ещё раз. Все эти наезды на Дурова — просто проявление служебного рвения некоторых личностей. Не особо уважаемых кстати. Не более того. Системного интереса в этом нет. А потому рано или поздно их достаточно жестко поставят на место. И скорее рано чем поздно.
vtozr8899
А, теперь понял, то есть вы считаете, что проблемы с GRAM — это имитация, и на самом деле GRAM скоро запустят. Возможно, я не знаю. Только я всё же не могу сказать, что все инструменты, потенциально выгодные преступникам, но также выгодные и честным оппозиционерам, скрывающимся от властей, в итоге выжили. Были такие, которые не выжили (или пользование которыми было сильно затруднено), и достаточно вероятной причиной было то, что они мешают спецслужбам бороться с оппозицией.
eugenk
Не совсем. По большому счёту да, имитация, спектакль. Но сами куклы в этом спектакле считают что играют какую-то важную роль. Что касается инструментов которые не выжили, ну что же тут поделаешь, рынок. Он ведь не только видимый бывает. Согласны? А вообще извините, но мне не хочется развивать тут эту тему. Хабр он ведь вне политики. Как бы нам с Вами тут минусов не нахватать. Если интересует продолжение разговора, пожалуйста, предложите какую-то альтернативную площадку. Ну и мысль Вам в качестве затравки. Представьте, что наступило всеобщее щщастье. Все террористы уничтожены на дальних так сказать подступах. Все навальнята закатаны в асфальт. Спрашивается, чем же заниматься Конторе ??? Унылая безрадостная пенсия во цвете лет ???
У меня в детстве была собачка. Симпатичная дворняжка. Кошки были наши злейшие враги. Гоняли их по чем зря. Но прогоняя очередную кошку, собачка явно не стремилась её ДОГНАТЬ… Ещё из той же серии. Загадка. О чём думает курица, убегая от петуха? Ответ. Она думает, а не слишком ли быстро я бегу ??? Вот и «люди в чёрном» думают примерно так же…
vtozr8899
Минусов я, по-моему, уже нахватал. Но думаю, самое важное мы друг другу сказали, так поиск другой площадки, думаю, не стоит затраченных усилий.
madCreator
Сатоши Накомото — мифическая личность. Может оказаться, что его и не было никогда, а биткоин — детище тех же самых спецслужб. Это же суперудобный инструмент теневого обращения бабла, интересный прежде всего спецслужбам, ну а потом уже организованной преступности (которая, кстати, тесно с этими спецслужбами сотрудничает!)
Если кто-то думает, что криптовалюта — это нечто, независимое от государева ока и ока мегакорпораций, то он наивен до крайности.
Абсолютно любая вещь, существование которой ставит под вопрос полноту власти тех, кому она принадлежит, даже в мизерной степени ставящая, будет немедленно уничтожена или взята под контроль.
И было бы странно, если бы власть вела себя как-то иначе!
Desem
Вам не кажется что теплое с мягким смешано? Как связаны «быстрые» Я.стринги с поисковой системой duckduckgo, например? Вернее как можно сравнивать браузер с поисковой системой?
eugenk
Можно подробнее начиная с этого момента? Я тут ниже в комментах уже писал, что когда стану Господом Богом (если конечно санитары не будут против :)))), одно из первых дел которым я займусь, это реклама. Ибо хуже этого говнища по-моему вообще мало что есть на свете. Разве только войны. А главное что в этом поражает — это бессмысленность. Вспоминаю времена злокачественной рекламы виагры, когда это говно разве что телеграфный столб не рассылал. Тогда все почтовые сервера обзавелись фильтрами. И началась война между спамерами и фильтрами. В итоге ко мне на почту приходило такое говно, что если бы мне вдруг срочно потребовалась виагра, пришлось бы очень долго изучать содержимое письма, чтобы понять, что именно о ней там идёт речь! Спрашивается какой в этом смысл ??? Ну молодцы ребята, почтовые фильтры прошли. Но целевое сообщение доставлено в неудобоваримом для восприятия виде! Какой тогда смысл вашей победы, зачем было корячиться? Коллективные действия согласен, бывает что это и работает. Например в конце 90-х всех достал своим спамом «центр американского английского». Народ договорился и однажды им позвонили ВСЕ кого достала их реклама. Работа офиса была парализована. Но это скорее исключение чем правило. В рамках существующей системы борьба с этим говном боюсь невозможна. Реклама её ОСНОВА. Вот как-то так…
gecube
Для меня все просто. Мы живем в эпоху симулякров. Условно. Кто-то пишет вирусы, кто-то пишет антивирусы (есть обоснованные подозрения у определенной части населения, что это могут быть одни люди). Потом. Гугл и Яндекс начинает публиковать рекламу. Деньги за клики. Ты размещаешь рекламу, приходят конкуренты и скликивают тебя. Некто открывает интернет-магазин, Находится предприимчивый человек, который хочет тако же — но как набрать ассортимент? Написать парсер и скачать с первого сайта все содержимое. Примеры можно продолжать вечно. Что объединяет их все — это все переливание из пустого в порожнее, эти действия НИЧЕГО нового не создают. Вместо того, чтобы объединить усилилия и реализовать глобальные цели человечества, мы ворошимся в нашем муравейнике, пытаясь с минимальными средствами перераспределить ресурсы между друг другом.
A1054
Это как раз ни о чем не говорит. Показательнее было бы сравнить дистрибутивы с официального и левого сайтов.
vilgeforce
Сравнение дистрибутивов покажет что они разные, а дальше что?
konstwww
Различия указывают на потенциальную угрозу. А как с этой потенциальной угрозой обходиться каждый решает для себя сам.
Мне лично (лично мне!) этого будет достаточно, чтобы не устанавливать это.
Вы, возможно, проанализируете в чем именно различия и если потенциал угрозы не уменьшится, то скорее всего тоже не установите.
Пользователь неопытный, вероятнее всего, просто установит (если антивирус не помешает).
Если предположить, что установщик ничего «лишнего» не установит сразу, нет гарантий, что это не произойдет позже. То есть в случае если даже установщик чистый, то потенциальная угроза останется, в то время как при использовании оффициального установщика она уменьшится.
Да, это не доказательство зловредности. Но это, извините, как прити в полицию и сказать, что ты боишься за свою жизнь, а тебе говорят: «вот как убъют, так и приходите...»
eugenk
Просто подумайте головой. Ну хорошо, положим крякер вылечил от жадности что-то полезное людям и выложил это в сеть для всех. Я сам порой так делал (с очень специальным, дико дорогим, нужным лично мне, но мало кому интересным софтом, в основном электронно-инженерной направленности, те же Active HDL и Modelsim к примеру), так что такой мотив мне вполне понятен. Но какой смысл выкладывать у себя на сайте то, что ОФИЦИАЛЬНО БЕСПЛАТНО ??? Мало того что выкладывать, а ещё и ДЕНЬГИ ПЛАТИТЬ за продвижение своего сайта в поисковике!!! Согласитесь, действие труднообъяснимое в рамках логики благородных поступков. Зато очень хорошо объяснимое и понятное в рамках логики современной компьютерной преступности. А самое простое объяснение как правило оказывается и самым верным. Во всяком случае в том, что касается не фундаментальных законов природы а мотивов и поступков людей. Так что факт, что вам хотят всучить какое-то говнище я считаю полностью доказанным. Одним только несовпадением размеров официального инсталлятора и скачанного файла. Вопрос лишь в том, ЧТО ЭТО за говнище. Сравнительно безобидная адварь? Шифровщик-вымогатель? Банкер? Нет, если Вам любопытно, Вы конечно можете провести эксперименты. Только не забудьте, что перед Вами скорее всего простой загрузчик. Так что в коде Вы ничего не увидите, кроме факта, что он что-то скачивает и запускает. Через некоторое время он скачает «полезную нагрузку». И ЧТО это будет — неизвестно.
gecube
Я тоже не понимаю смысла существования этих каталогов софта. Условно раньше — действительно была проблема найти какой-то отдельный вид софта, т.к. поисковики вроде Гугла были не очень умными. Но теперь-то все можно из гугла найти! Да и каталоги софта всегда содержали ссылки на оф. сайт производителя конкретного наименования, т.е. смысла качать архивы именно оттуда не было! Но есть два кейса, которые ими все-таки покрываются:
Ну, и последний гвоздь в крышку гроба этих каталогов софта вбивают магазины приложений от вендора ОСи,,,,,
eugenk
3 детекта это ни о чём. У Вас простая hello world столько наберёт.
Mur81
Ну вот я скачал этот «Skype» по первой ссылке выдачи по запросу «скачать skype». Не из подвала выдачи, а из первой прямо. Да, это рекламная ссылка. Вторая ссылка ведёт на настоящий сайт. Но какой процент людей разбирается в тонкостях выдачи?
Итак, что скачалось? Некий файл Skype.exe размером 2,25 МБ. Настоящий инсталятор текущий версии под Windows — Skype-8.56.0.103.exe имеет размер 66,3 МБ.
Ну и что мы получим установив такой Скайп? Неужто что-то «благоносное»?
Кстати скачанный файл подписан корректной ЭЦП. Сертификат выдан Sectigo на такие реквизиты:
CN = PROJECT OFFICE OF DIGITAL TRANSFORMATION LLC
O = PROJECT OFFICE OF DIGITAL TRANSFORMATION LLC
STREET = Heroes of Russia street, house.2, build.20
L = Ekaterinburg
S = Russia
PostalCode = 620107
C = RU
Ничего не боятся совершенно.
Leonidas2009
А чего им бояться? Фирм, зарегистрированных на бомжей — можно купить на рынке. Стоит удовольствие от 100 тыс. Конечно, никто сам подставляться под такое не будет.
dim2r
Это еще смотря какой сертификат. Если EV (Extended Validation), то ему намного больше веры, так как там жесткая проверка. Требуют подпись адвоката, который принадлежит адвокатской палате. Плюс всякие проверки подлиности личности.
Leonidas2009
Личность то может быть подлинной, но… ладно, не будем. Если не знаете, то и ладно, легче спать будет, ей-Богу.
Mur81
Либо УЦ не проводит должную проверку. Пять скачанных мною образцов подписаны пятью разными сертификатами, но выдаными одним УЦ.
Leonidas2009
Давайте подкину версию «заговора». Это ФСБ заранее открыла специальный УЦ — для своих целей, поэтому проверок нет в принципе, и какое-то должностное лицо воспользовалось полномочиями. Вообще, конечно, в СМИ и не такое увидишь, так что фантазия уж за ними всеми не успевает.
Mur81
Никакую версию заговора я тут не продвигаю. То что некоторые УЦ халатно относятся к своим обязанностям давно известный факт.
dim2r
Вряд ли ФСБ получит сертификат для УЦ. Я пробовал получить EV, обплювался насколько это заморочно.
vilgeforce
«Неужто что-то «благоносное»?» — да, и приложив немного усилий вы даже сами сможете в этом убедиться. Только зачем, если Яндексы такие плохие.
Mur81
Эм… давайте ещё раз мысленно проговорим ситуацию. Я хотел скачать Скайп. Я скачал точно не Скайп. Virustotal даёт на этот файл одну сработку (согласен, что это не показатель, но дополнительный звоночек).
Т.е. под видом Скайпа мне втюхали что-то. И Вы мне хотите сказать, что там что-то полезное для меня будет? «СЧАСТЬЕ ДЛЯ ВСЕХ, ДАРОМ, И ПУСТЬ НИКТО НЕ УЙДЁТ ОБИЖЕННЫЙ!»?
И да, я запускал ЭТО на вируталке без подключения к сети (мне зачем приключения? а выводить в отдельную сеть было лень). Запустился якобы установщик Скайпа и попросил подключение к интернету.
Вы не хуже меня понимаете что это и зачем делается. Зачем здесь разводить эту демагогию?
Я не склонен говорить, что Яндекс плохой потому что у него в Директе рекламируются вредоносы. Яндекс в этом плане такая же помойка как и Гугл. Там точно так же рекламируются эти же самые сайты по тем же запросам. Ютуб мне показывает рекламу роликов мошенников а-ля «Ваши прес.данные утекли в сеть, зайди и мы расскажем тебе как получить компенсацию!».
Гнилая вся эта система в целом.
vilgeforce
Ну вот посмотрите куда оно лезет в сеть, посмотрите что там есть, скачайте, проверьте цифровые подписи… Там будут официальные инсталляторы с валидной цифровой подписью. Но зачем проверять если можно в 100500-й раз высказывать подозрения и строить теории заговоров? Я уже привел конкретный URL даже — смотрели? Нет же! Демагогия — как раз играть на страхе ничего не понимающей толпы, чем тут успешно 99% комментаторов и занимается
gecube
Это Вы занимаетесь демагогией. Поясню — вполне успешно уже используются технологии, которые для определенного процента посетителей дают ссылку на вредонос, а для большинства — могут показывать ссылку на официальный дистрибутив. И Вы никак это не отловите. Зачем так делать, если можно любому пользователю предоставлять ссылку на вредонос или хотя бы adaware? Вполне понятно.
Т.е. Вы даунлоаудеры, которые запускают официальный инсталлятор, а еще в фоне неведомую хтоническую фигню, не наблюдали никогда? НЕ ВЕРЮ.
Касательно downloader'а — я тут соглашусь только с тем, что его нужно подвергать реверс-инжинирингу, чтобы иметь 100% пруфы, но опыт показывает, что вообще качать что-либо с "левых" сайтов достаточно опасно.
Разве что торренты менее опасны за счет большой аудитории и практически отсутствию возможности подмены файлов (там везде проверка контрольных сумм).
Mur81
Извините, но Вы либо очень сильно не понимаете в обсуждаемой теме, либо это ваш проект там рекламируется.
Если первое, то объясняю. Это типичный загрузчик (downloader). Он сегодня вам может загрузить легитимный Скайп (например — что бы пройти модерацию), а завтра может загрузить шифровальщик. Или загрузит Скайп (что бы усыпить бдительность) и останется в системе, что бы потом загрузить полезную нагрузку как только получит команду с командного сервера. Что бы однозначно утверждать, что он грузит только легитимный Скайп и ничего более и никогда более, нужно посмотреть его код.
Но этого делать не нужно. Потому что здравый смысл нам подсказывает, что никто не будет делать загрузчик для сторонней легитимной программы и рекламировать это потом за деньги на поисковиках. Здесь в любом случае предполагается какая-то монетизация. И в любом случае никаких благ это не принесёт человеку установившему это на свой комп.
Если же второй вариант, то извините, что порчу Вам бизнес.
grishkaa
Adware — это тоже вредоносное ПО.
alix_ginger
Да и «ненужное овно» тоже. Как минимум, оно наносит вред, занимая место на диске.
oll-ek
Один из множества примеров, вернее даже не множества, а подавляющего большинства результатов на введенные «не технарями» фразы в адресной строке таковы. При поиске обычным пользователем произнесенного ему по телефону «а-м-м-и-и», свмыми первыми он получает несколько сайтов предлагающих: «Скачать Ammyy Admin 3.9 бесплатно с официального сайта АмиАдмин», «Ammyy Admin (AnyAdmin) скачать бесплатно с официального сайта». Ссылки для скачивания, разумеется, никоим образом не ведут на официальный сайт, его реальный адрес там вообще нигде не упоминается. На скриншоте видны файлы скачанные у действительно разработчика и с двух сайтов, подсовываемых яндексом в качестве «официальных». Всё хорошо видно уже по размерам файлов и содержимому архива, контрольные суммы тут даже ни к чему. Всё качалось по кнопкам, предлагающим версию 3.9:
Подобные ловушки от яндекс и его проплатчиков ждут неискушенных пользователей на каждом шагу.
Использование адресной строки для поиска — вообще отдельная песня… грустная очень.
gecube
А еще эти люди хотят писать в адресной строке адреса на национальных алфавитах (что очень хорошо для мошенничества — поди разбери какой там символ — кириллица или латиница), а еще они же предлагают убрать префикс www по умолчанию (а ничего, что www.XXX.com и XXX.com — могут быть вообще разными ресурсами ?)
greatvovan
А adware – не вредноносное ПО?