11 февраля 2014 года

Вредоносные программы, предназначенные для демонстрации в браузере пользователя различной навязчивой рекламы, в последнее время стали появляться все чаще и чаще. Только за последнее полугодие в вирусные базы Dr.Web было добавлено множество подобных рекламных троянцев, значительная часть которых распространялась с использованием различных партнерских программ.

Наиболее активным распространителем вредоносных приложений на сегодняшний день является партнерская программа Installmonster.ru — в последнее время она специализируется на распространении рекламных троянцев. Среди представителей этого семейства можно отметить такие приложения как Trojan.Zadved.1, а также Trojan.Admess.1, о распространении которого мы сообщали 6 февраля. Однако деятельность компании «Доктор Веб» по борьбе с рекламными троянцами приходится по душе далеко не всем. Так, вскоре после публикации упомянутой выше новости в нашу компанию поступило письмо от администрации партнерской программы Installmonster. Желающие могут ознакомиться с текстом письма здесь.

Вскоре после этого в пресс-службу компании пришло еще одно письмо — якобы от самого создателя троянца Trojan.Admess.1, Сергея Ко***ева (фамилия скрыта по соображениям приватности).

Как видно из текстов писем, представитель партнерской программы и сам создатель приложения утверждают, что плагин для браузеров, размещающийся в настоящее время на сайте adobe-sdk-site.com, не несет в себе никакого вредоносного функционала. Действительно, файл, расположенный сейчас на данном сайте, имеет размер порядка 500 Кбайт, и не представляет собой какой-либо угрозы, поскольку является точной копией широко известного плагина для социальной сети «ВКонтакте». В данном случае владельцу сайта и автору данной браузерной надстройки хватило ума только на то, чтобы поменять в коде название плагина:

Слева — то, что раздается в настоящий момент с сайта adobe-sdk-site.com, справа — оригинальный плагин «VkOpt»

Опубликованная компанией «Доктор Веб» новость, посвященная троянцу Trojan.Admess.1, касалась совершенно другого плагина, имевшего размер порядка 6 Кбайт, и распространявшегося с использованием возможностей партнерской программы Installmonster. Очевидно, что представители партнерской программы, и сам создатель троянца, пытаются ввести в заблуждение сотрудников компании «Доктор Веб», причем весьма наивным и нелепым способом. Модераторов Installmonster совершенно не смутило то обстоятельство, что плагин распространялся под видом проигрывателя Adobe Flash Player, в связи с чем можно предположить, что используемые ими способы «проверки рекламодателей» неэффективны, либо вовсе отсутствуют. Что же касается функционала, связанного с кражей паролей, который по словам представителей Installmonster «не нашел подтверждения», то очевидные выводы можно сделать исходя из простого анализа кода рассматриваемого нами плагина. Давайте обратим внимание на представленные ниже скриншоты:

Введенные пользователем данные из поддельной формы, встраиваемой троянцем в веб-страницу социальной сети «ВКонтакте», передаются скрипту log_vk.php, расположенному на сайте http://adobe-sdk.com.

Введенные пользователем данные из поддельной формы, встраиваемой троянцем в веб-страницу поисковой системы «Яндекс», передаются скрипту log_yandex.php, расположенному на сайте http://adobe-sdk.com.

Введенные пользователем данные из поддельной формы, встраиваемой троянцем в веб-страницу сайта Mail.Ru, передаются скрипту log_mail.php, расположенному на сайте http://adobe-sdk.com.

Введенные пользователем данные из поддельной формы, встраиваемой троянцем в веб-страницу социальной сети «Одноклассники», передаются скрипту log_ok.php, расположенному на сайте http://adobe-sdk.com.

Однако основным функциональным назначением данного плагина является все же подмена рекламных модулей на популярных сайтах, обладающих высокой посещаемостью, к которым пользователи традиционно относятся с определенной степенью доверия. При этом плагин демонстрирует баннеры рекламных сетей, давно замеченных в распространении вредоносного ПО и продвижении мошеннических сайтов — все эти сети и рекламируемые ими ресурсы присутствуют в базах Родительского контроля Dr.Web. Именно в силу наличия этого функционала данное приложение было отнесено вирусными аналитиками к категории троянских (т.е полностью вредоносных) программ.

В ответ на утверждение представителей Installmonster о том, что их партнерская программа «не нацелена на распространение вредоносного ПО, и готова сотрудничать по детектированию нечестных рекламодателей» нам хотелось бы напомнить читателям о троянце Trojan.Zadved.1, которому была посвящена отдельная статья, опубликованная на сайте компании «Доктор Веб» еще в 2013 году. Несмотря на огласку данного факта, указанный троянец до сих пор распространяется партнерской программой Installmonster, в настоящее время — под видом плагина «eTranslator».

Наконец, в отношении предложения представителей партнерской программы о том, что «данные рекламодателя у нас есть, и могут быть представлены при соответствующем запросе» компания «Доктор Веб» может сообщить, что в данном случае в предоставлении сведений нет необходимости: рекламодатель-распространитель вредоносного ПО сам опубликовал на своей домашней страничке собственные контактные данные, в частности, номера мобильного телефона, а также биометрическую и автобиографическую информацию, включающую рост, вес, дату и место его рождения.

Специалисты компании «Доктор Веб» напоминают, что в Законодательстве Российской федерации предусмотрена уголовная ответственность за распространение вредоносного ПО. Надеемся, эта информация заинтересует правоохранительные органы. В свою очередь, мы будем и в дальнейшем прикладывать все усилия для борьбы с распространителями троянских программ и нерекомендуемых рекламных приложений.