Слух: Ad-Ware подменяет выдачу «Яндекса» (+)

Стоит отметить, по поводу одной из ссылок выше, что [url=http://feeling-of-void.livejournal.com/196522.html]есть и другая[/url] — где человек почистил компьютер от вирусов и ему наступило счастье. РБК, как и «Бегун», транслирующий объявления, тут, скорее пострадали. А обогатился лишь товарищ вирусописатель. Завтра спрошу у «Бегуна», в курсе ли они такого использования, и как к нему относятся.

тема про адворы подменяющие авыдачу уже поднималась… а вот как к этому относится бегун.. ну жевет же блокнотик….

Ну слушайте, «дилеры» Яндекс.Директа, которые кардят ничего не подозревающих людей, а потом обналичивают таким образом деньги, тоже существует бог знает сколько. Вопрос в том, как относится компания к их существованию.

Между прочим, распространяется это программа в открытю на файлообменнике letitbit.net. Партнёры системы получают за каждого нового юзера несколько центов. А система зарабатывает до сотни долларов.

То есть вирус? Схема заработка вирусописателя — за счет показа Бегуна?

Ну да. Кто-нибудь (вы, например) покупает рекламу, пользователь, какой бы она нерелевантной ни была, все равно иногда кликает, переходит на сайт рекламодателя. Готово! Пользователь в недоумении, «Яндекс» в таком-же состоянии, «Бегун» привел клиенту мутного посетителя, рекламодатель заплатил деньги. Едва ли это ощутимый процент трафика составляет, конечно.

В чем тогда суть инсайда, если это исследованный вирус?

«Слух», написано же Сейчас «Бегун» даст комментарий, у информации будет некоторая добавленная ценность. Думаю, «Яндексу» тоже интересно.

Юр, процент я думаю ощутимый. Заражено не меньше миллиона компьютеров — за полгода letitbit мог и больше привлечь. Отток пользователей небольшой, так как реклама для них незаметна. Поиском пользователь пользуется где-то 5 раз за день. CTR у такой рекламы доходит до 100%. Тут точно больше миллиона кликов в сутки генерится.

Интересно кстати а сколько компьютеров заразила агава? Вы же оттуда? Вот и инсайд интересный будет.

Я тоже попадаю в ядро Roem, поэтому отвечу, не дожидаясь реакции нашей пресс-службы. Мы уже некоторое время совместно с Яндексом занимаемся расследованием этой истории. Ни у нас, ни у Яндекса, как я понимаю, нет экземпляра этого вируса, поэтому пока мы не смогли выяснить детали, необходимые для установления злоумышленников. Сложность заключается в том, что вирус заменяет естественную выдачу поисковика, перенаправляя пользователя на сайт, который, по слухам, участвует в рекламной сети «Бегуна». В той же мере сайт мог поставить на себя Директ или Адсенс. Вполне возможно, речь идет о группе сайтов, являющихся участниками разных рекламных сетей, поскольку заметный прирост трафика у партнера немедленно вызвал бы интерес нашей службы анти-фрода. Если объемы ворованной аудитории незначительны, у рекламного оператора нет возможности технологическим способом выявить такого «партнера», поэтому мы ищем вирус или владельца зараженного компьютера.

Вы бы еще посчитали, сколько «Мастерхост» заразил. «Агава» — хостер.

Alter Ego, что Вы имеете ввиду? :) Есть всё-таки огромная разница между нами и битакселератором. Примерно как между фейерверком и бомбой.

А, я понял, что имел в виду Alter Ego. Нам, как хостеру, приписывают заражение сайтов наших клиентов скриптами, загружающими вирусы. Хотя взламывают на самом деле самих клиентов, хранящих пароли в открытом доступе. Интересная тема для сплетен, ага.

Алексей, а найти вирус очень просто. Он в программе BitAccelerator, которую от всех пользователей требует скачать сервис leitibit.net.

2Avaks. Спасибо, переслал ссылку нашим спецам. Сейчас займутся.

Ого! Получается это не исследованный вирус! Удачной охоты!

Точка, почему же, вполне исследованный антивирусными лабораториями, занесённый во все их базы и нещадно удаляемый антивирусами. Только судя по форумам и блогам пользователь у нас предпочитает отключать антивирусы если ему надо запустить программу, на которую они ругаются, но которая ему очень нужна.

2 Басов «..Ни у нас, ни у Яндекса, как я понимаю, нет экземпляра этого вируса, поэтому пока мы не смогли выяснить детали, необходимые для установления злоумышленников…» Леха, так в чем проблема? Установите себе прогу с вирусом и все дела :о)

Если бы вирус был исследован, то последствия его работы уже наверное лежали бы на столе у Яндекса и Бегуна. Так же как и предложения по нейтрализации.

Radioto4ka, он исследовани антивирусными лабораториями. А зачем они будут сообщать об этом Яндексу и Бегуну? Для оповещения всех фигурантов всех вирусов придётся создать целый отдел, который никогда не будет прибыльным. Они же не благотворительный фонд по защите компаний от мошенников в конце концов…

Просто мне инетересно поведение Агавы — агава не только хостер. Агава как раз распосранитель этих самых адварей:) ifolder.ru тоже на заметку Помнится был забавный случай — у агавы есть свой антивирус — так они всем клиентам своего антивируса воткнули адварь свою:) Может быть именно у них сейчас проблемы с фидом бегуна?

АльтерЭго, давайте всё-таки не будем сравнивать, ок? То, что есть у нас, не нарушает закон, не находится в антивирусных базах (потому что не классифицируется ими как adware), не портит пользователям выдачу и имеет возможность бесследного удаления. Потому никаких проблем с фидом бегуна у нас точно нет и не будет. Потому лично я, как руководитель проекта, родственного тематике «слуха», крайне возмущён грязной работой ребят из letitbit. Это противоречит всем правилам легального программного обеспечения, которых мы стараемся всегда придерживаться. А причём тут ifolder, кстати?

вот ссылка с результатами сканирования файла: http://www.virustotal.com/ru/analisis/8dca96416ce7e462d4da0d1a047a836b Как видно — троян. ехешник можно скачать отсюда: http://www.antispy.ru/ А вот партнерки с этим трояном http://agava.ru/partners/ Я так понял украли вашу технологию потому вы и яритесь?

Avast 4.7.1098.0 2008.01.18 Win32:Trojan-gen {Other} Офигенно пушистый троян.

да забавные тут терки, интересно.

Да ви что?! Это же антишпионская пгоггамма! Какте тгояны?! :о)

АльтерЭго, Вы бы сначала разобрались в теме, а потом делали заявления. Да, наш рекламный модуль поначалу попал во многие антивирусные базы. Просто потому, что саппорты антивирусных лабораторий не разбираются откуда ноги растут и достаточно одного запроса от пользователя, чтобы программа попала в базу. Однако, по нашей просьбе лаборатории проводят более глубокое изучение нашего модуля и исключают его из базы. Точку в его классификации поставила наиболее авторитетная антивирусная компания — «Лаборатория Касперского», переместившая модуль из категории Adware в категорию riskware, где столько честных и совсем не рекламных продуктов, что мы не обижаемся. Теперь о том, что делает наш модуль. Во-первых, при установке программы пользователю честно показывается информация, что ему ставится рекламное ПО. Во-вторых, мы не меняем содержимое страниц, не собираем приватную информацию и не крадём пароли. Мы просто демонстрируем рекламу в браузере. Всё. В-третьих, наш модуль можно в любой момент полностью удалить через стандартный раздел «Установка и удаление программ». И я даю гарантию, что он сам не возвращается, не возобновляется и не возрождается. Никогда. В отличие от всех своих собратьев. В-четвёртых, все наши продукты, поставляемые с рекламным модулем, имеют вариант покапки лицензионного ключа, при вводе которого рекламный модуль отключается. Опять-таки, навсегда. Потому технологии у нас совершенно различные. Да, тоже реклама в ПО. Да, тоже в браузере. Только мы соблюдаем все законы, в том числе и негласные. И попрошу больше не сравнивать нас с преступниками.

not-a-virus:AdTool.Win32.TMAagent.f Это говорит Касперский кстати not-a-virus:AdWare.Win32.BHO.cc not-a-virus:Monitor.Win32.Perflogger.ca Ну и в чем разница? интересен разбор специалиста. Насколько я понимаю по классификации Касперского Рискваре — например этот монитор, который представляет из себя кейлогер. Ничего более опасного и вредного мне и представить трудно. Так же очень интересно про гласные и негласные законы:) Вообще такие разборки очень интересны и информативны — много нового и интересного узнаешь:)

not-a-virus:AdTool.Win32.­TMAagent.f — вот это наше Лаборатория Касперского проанализировала деятельность нашего модуля и пришла к выводу, что ничего вредоносного в ней нет. Но исключить его полностью из базы они не могут по политическим причинам. Потому наш модуль попал в категорию riskware (AdTool) — это все программы, которые ПОТЕНЦИАЛЬНО могу быть опасными. То есть обладают такими функциями, которые могут быть использованы во вредоносных целях, но не опасны по своей сути. Как кухонный нож — оружием он не является и предназначен для нарезки салатов, но в принципе убить им можно. Помимо всего прочего, по классификации ЛК Adware — рекламная программа, устанавливаемая на компьютер пользователя без его уведомления. Что такое Monitor по их классификации я, честно говоря, не знаю — кейлоггерами мы никогда не занимались и не собираемся. Негласные законы — не оставлять следов после удаления модуля. Не реинкарнировать его через заданный промежуток времени. Не нашпиговывать шпионскими функциями. Не идентифицировать пользователя. Удалять полностью по запросу пользователя. Предоставить возможность продлолжить использование программы-донора без просмотра рекламы путём покупки лицензионного ключа. Всё это есть у нас. И ничего из этого нет у фигуранта «слуха». Вы пытаетесь обвинить легального производителя хлопушек в производстве тротила. Очень надеюсь, что ниже я увижу извинения в нашу сторону.

Ну я положим никого не обвинял:) Я собственно слабо разбираюсь в вашем рынке троянов, я по стартапам все больше. Ну если вы хотели поддержу интересный разговор. Но вот вы пишете — наше не находится в антивирусных базах, люди приводят пример — нет находятся. Т.е. антивирус алертит на вас. Это извините прямая неправда. На все три примера алертит ровно одинаково. Далее, вы пишете что вы рискваре, и это добрые и пушистые — судя по описаниям этого монитора который рискваре — это кейлогер. Если вы мне обьясните почему кейлогер добрый и пушистый и почему находится в лидерах по распостраненности я буду очень благодарен. Что такое монитор по их классификации видно по представленным в слухе ссылкам. Ну и собственно последнее — ваши утверждения что чегото есть у них, а нет у вас, голословны. Их собственно могут проверить только специалисты. И я куда больше верю специалистам лаборатории касперского, которые поместили все это добро в одну группе — не вирус, не троян, не спайваре. Группы прекрасно расписаны — кейлогер это просто монитор клавиатуры — больше ничего не делает плохого(другой вопрос почему распространен, и зачем вообще мониторить клавиатуру). адваре — это просто реклама, показывает рекламу, бегуна там яндекса или еще кого — не принципиально вот мне. А у вас рекламный тулс, гм. что делает непонятно, но судя по всему может показывать рекламу а может не показывать. Это если вы попросили анализа — вот вам на вскидку анализ:) И более серьезный анализ стоит проводить не фигурантам этого дела, а антивирусным компаниям. Они не заинтересованы вас обелять или очернять. Вообще я и не знал до этого как у нас в рунете на самом деле интересно:)

Монитор — не только кейлоггер. Наблюдает, например, за тем, на какие сайты ходит юзер, чтобы подсовывать ему релевантную рекламу. Riskware — софт, в использовании которого есть темные стороны. Remote Tools, например. Если пользователь знает, что это за софт, знает о его функциональности, но мирится — ПО может оставаться на компьютере, так как оно не угрожает целостности системы. Если программа однозначно вирусная — ее АВ-продукты стараются удалить или переместить в карантин.

Я анализа вообще-то не просил — мне хватает результатов исследований антивирусных компаний, которые не классифицируют наш модуль как вирус. То, что AVAST! видит в нём трояна — не наша проблема, а AVAST’а, так как показывает низкое качество работы их лаборатории. Я не удивлюсь, если в некоторые антивирусные базы попадёт любой другой продукт — в сообществе ISDEF (www.isdef.org) регулярно обсуждается попадание совершенно невинных программ в базы разных антивирусов — у кого кейлоггер, у кого адваре, у кого и того хуже. И все мы вздыхаем, в очередной раз пишем разработчикам этих антивирусов и те после долгих пререканий удаляют программы из базы. Или не удаляют. Или вообще не отвечают на письма. Я одного не понимаю, почему наш AdTools господин Монахов ставит в ряд с Adware и Monitor? Где Вы взяли такой ряд? Да, одни в одной антивирусной базе. Но в принципиально разных категориях. И существование нашего модуля в категории AdTools — результат независимого тестирования в Лаборатории Касперского. Для того, чтобы Антивирус Касперского сработал на наш модуль, необходимо в настройках поставить галочку «защита от Riskware». После этого Антивирус начинает визжать постоянно — это эдакий «режим параноика». По умолчанию она снята. Для детектирования AdWare галочку ставить не надо, так как это уже не Riskware, а шпионский софт, который действительно опасен. Почему с нашей точки зрения и с точки зрения ЛК это не AdWare? — мы предупреждаем пользователя об установке рекламного модуля в процессе установки программы. Причём не просто в EULA, а в первом окне инсталлятора в отдельном абзаце. — мы честно в интерфесе модуля показываем почему он установлен и предлагаем купить программу, чтобы его отключить — при введении регистрационного ключа модуль деактивируется и никак не напоминает о себе — модуль имеет собственный деинсталлятор, находящийся в списке «Установка и удаление программ» — модуль не передаёт никуда никаких приватных данных, не собирает приватную информацию. Он просто анализирует открываемые пользователем страницы и на их основе формирует запрос на рекламу для нашего сервера без привязки к конкретному пользователю. Мало того, не только ЛК проверяла наш модуль на вшивость. Мы работаем с крупнейшими рекламными брокерами России и мира только потому, что никого не обманываем. Как доказательство — посмотрите чей логотип красуется в нашем тулбаре в 30% случаев. Правда, насколько я понимаю, тулбар никто не видел — все только горазды поболтать. Скажите, Вы вот на полном серьёзе думаете, что такая крупная компания, как AGAVA будет рисковать своим реноме, да и вообще своим существованием, разрабатывая шпионский софт?

я про этот вирус знаю с самого его появления. Кстати Бегун о нем тоже знает (возможно все, кроме Басова :) ). Но вот грянул гром и зашевелились. А пол года трафик отмывался супер. Респект.

что-то я не понимаю про подмену поисковой выдачи — понимаю не понимаю, кому, кроме накручиваемого сайта (если эта махинация создана для накрутки) или кроме Бегуна (если это скликивание контекстной рекламы), может быть интересна такая картина? ведь легко палится источник и характер таких переходов как тогда на этом зарабатывает злоумышленник? З.Ы. хозяин, почини комментирование, лень по 3 раза одно и то же сабмитить

а чей поиск подменяется?

а НОД ничего не нашел? странно … может версия старая … они только месяц как стали это лечить