Браузер Piratium

Тема в разделе "Программное обеспечение", создана пользователем Chinaski, 8 июн 2014.

  1. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Всем доброго времени суток!
    Не так давно. коллега на работе зашел на зайцев нет, послушал песенку и у него в систему установился браузер Piratium. Что-нибудь слышали об этом браузере? У них даже сайт есть. Браузер естественно установился самовольно, ни выдавая ни каких запросов :Ireful1: браузер удалили, после удаления висел файл в модулях пространства ядра. На вирустотал признан чистым. Отправил в лабораторию др.веб еще в прошлую среду. Не знаете сколь долго может идти ответ? Ни когда раньше так файлы не отправлял на анализ.
     
  2. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    Бывает до двух месяцев.. А это не скрытая реклама ? На базе хромиума можно любые сборки делать.
    (нашёл его, посмотрим)
     
    Последнее редактирование: 9 июн 2014
  3. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    )) конечно реклама, и даже не скрытая а самая что ни на есть))
    У меня вызывает сомнения легитимность браузера, т.к. установился самовольно, в этом то собственно и весь вопрос.

    P.S. насколько я видел много другого ПО обсуждается на форуме, ни как ни думал что это будет принято за рекламу.
     
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    по разному, в большинстве случае ответ на следующий день (бывает, что и в тот же), а иногда тянут с ответом неделю или, но может быть и дольше. И отсылать лучше сразу в несколько вирлабов. В теме Как и куда можно отправить подозрительные файлы на анализ указано куда их можно послать.

    Лучше поискать установщик этого браузера и отправить его. Если этот браузер не показывает никакой рекламы, то вердикт по нему скорее всего так и останется - чистый.
     
  5. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Да, от Зайцева и Др.Веб уже неделю нет ответа, скинул еще на 15-20 адресов. О результатах отпишусь. Надеюсь не одному мне это интересно :Biggrin:
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Зайцев это не вирлаб, от него вообще ответа ждать не надо ;). Там просто по мере накопления информации пополняется база AVZ. Для этого и этой темой можно воспользоваться.

    последнее время начал замечать в логах юзерах браузер Torch, у него тоже сайт есть и тоже похоже из разряда adware.
    --- Объединённое сообщение, 10 июн 2014, Дата первоначального сообщения: 10 июн 2014 ---
    Я о нём раньше не слышал, сейчас из интереса зашёл на зайцев, скачал загрузчик первой попавшейся песни. Запускаю предлагает установить браузер, но Amigo.
    [​IMG]
    ссылка на результат проверки этого загрузчика на VT
     
    Последнее редактирование: 10 июн 2014
    Chinaski нравится это.
  7. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    О! Заходил на сайт коллега, видимо на галочки не обратил внимание. В любом случае навязывание этих браузеров некорректно и возмутительно)
     
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    а ещё из числа браузеров которые самовольно устанавливаются Zaxar Game Browser, правда последнее время его вроде реже видно.
    Это я скачал через загрузчик
    [​IMG]
    так что невнимательность тогда уже не этапе скачивания загрузчика - что качается не .mp3 а какой-то .exe при чём размером всего 304 Kb и современного пользователя уже само предложение через загрузчик должно настораживать.
    --- Объединённое сообщение, 10 июн 2014, Дата первоначального сообщения: 10 июн 2014 ---
    Сейчас скачал и установил себе на виртуалку это Piratium, ничего плохого он не делает, так что детект вряд-ли кто-то на него добавит. А вот если вы найдёте загрузчик который скачали с зайцев и через который он установился, то на него уже должны.
     
    machito и Drongo нравится это.
  9. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Согласен, тут нужен глаз да глаз. Сейчас много различной шляпы впаривают, самый надежный вариант пользоваться только проверенными сайтами.
     
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    По условиям соглашения посетителя сайта с zaycev.net гостям предоставляется загрузчик, который автоматом может загрузить программу от партнеров. Ранее ПО шло от mail.ru. Оно и до сих пор там есть. Когда кликаете, смотрите, что за файл предлагается, если в конце стоит расширение exe, отменяйте загрузку. Пару раз кликнете - пойдет mp3.

    Но, если вы зарегистрируетесь на сайте zaycev.net, то сможете выбирать "загрузить mp3" или через загрузчик, как и написал вам супермодератор выше. После регистрации будете авторизовываться, выбирать песни, исполнителей и загружать новинки без ограничений. Если там стать фанатом какой-то группы или исполнителя (есть такая кнопочка), то на вашу почту будут приходить сообщения о появлении новинок. Спама от них не вижу вообще. За много лет.
    --- Объединённое сообщение, 10 июн 2014 ---
    Piratium, не качал, но скорее всего банальный конструктор на основе хромиума-хрома. Видимого вреда нет, но и пользы тоже.
     
    Последнее редактирование: 10 июн 2014
  11. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    Тоже пользуюсь этим сайтом. Даже проще - можно выбрать формат.
    На загрузчик доктором был детект, потом сняли. Так что от него не дождётесь..:Bye:
    zaycev-net.png
    В Piratium встроили tor и что то из торентов - в общем качать всё и отовсюду через него.

    Как бы странно не прозвучало, но загрузчики - это партнёрксая программа - вполне легальный бизнес и за ним будущее. имхо.:Dirol: (как то же надо окупать расходы).
     
    Последнее редактирование: 11 июн 2014
  12. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    К этому моменту получен только один ответ, от Fortinet. Что бы не казаться голословным, процитирую:

    Hi,
    Thank you for submitting the sample to Fortinet. Our analysis shows that the sample with MD5:415b640145adf7964798a528b0708a83 submitted by you is not infected with any malicious code.
    If you have any other questions, please contact us again.
    Regards,
    AV Lab - Jerome
     
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    В последнее время я начал его в логах юзеров встречать, юзеры разумеется не знают откуда он взялся.
     
  14. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    вчера пришел ответ от Dr.WEB которому направлял файл еще в первый день. Цитирую:

    Ваш запрос был закрыт Автоматической Системой в связи с тем, что на данный момент найденная Вами угроза уже обнаруживается антивирусом Dr.Web.
    В Службу вирусного мониторинга компании «Доктор Веб» поступает большое количество запросов от пользователей. Образец угрозы, присланной Вами, был прислан другим пользователем ранее и уже проанализирован вирусными аналитиками «Доктор Веб». Соответствующая запись в вирусной базе Dr.Web уже существует.

    Угроза: Trojan.Triosir.7
    Спасибо за сотрудничество.
     
  15. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Специалисты компании «Доктор Веб» обратили внимание на то, что в последнее время чрезвычайно широкое распространение получили вредоносные программы, предназначенные для демонстрации в окне браузера навязчивой рекламы и подмены контента веб-страниц. Одной из таких угроз стал новый троян Trojan.Triosir.1.
    Trojan.Triosir.1 распространяется с использованием ресурсов партнерской программы Installmonster вместе с различными приложениями и использует для своей установки инсталлятор Amonetize (amonetize.com). Функциональность Trojan.Triosir.1 в целом схожа с возможностями троянцаTrojan.Zadved.1. Основное назначение Trojan.Triosir.1 — подмена контента веб-страниц посредством технологии веб-инжектов, при этом реклама включает ссылки на различные мошеннические ресурсы. Основные модули троянца реализованы в виде плагинов к популярным браузерам. В частности, Trojan.Triosir.1 распространяется вместе с приложением для создания снимков экрана Screeny, устанавливающим в процессе своей инсталляции одноименный плагин для браузеров Mozilla Firefox, Chrome и Opera, который остается в системе даже после удаления основного приложения.
    Установленные в инфицированной системе плагины выполняют закачку основного файла вредоносного сценария с удаленного сервера. Данный сценарий, предназначенный для подмены рекламных модулей и встраивания в веб-страницы посторонней рекламы, начинает работать не сразу, а «выжидает» некоторое время, чтобы усыпить бдительность пользователя. При этом в его структуре прописаны специальные алгоритмы внедрения рекламы в страницы некоторых наиболее популярных интернет-ресурсов, например, социальной сети «ВКонтакте», «Одноклассники» и др. Вредоносный скрипт обладает достаточно продвинутой функциональностью: например, он умеет получать информацию о поле и дате рождения пользователя из его профиля в социальной сети.
    Среди рекламируемых троянцем ресурсов преобладают мошеннические сайты, подписывающие пользователя на различные услуги путем отправки на указанный им номер мобильного телефона SMS с кодом подтверждения. Помимо наиболее популярных и посещаемых сайтов, Trojan.Triosir.1 умеет подменять рекламу и на веб-страницах, не входящих в «привилегированный список». При этом троянец обладает специальной функцией распознавания «плохих» с точки зрения рекламодателей сайтов с использованием специального фильтра ключевых слов — на таких ресурсах реклама не подменяется. Кроме того, Trojan.Triosir.1 специально ищет на веб-страницах и заменяет своими модулями рекламу нескольких партнерских сетей, среди которых — lcads.ru, marketgid.com, visitweb.com, luxup.ru, pcads.ru, gredinatib.info, fulldl.net, adcash.com, tbn.ru, и некоторые другие. Также в коде троянца предусмотрен набор правил, позволяющих «прятать» некоторые элементы на сайтах my.mail.ru, fotostrana.ru, loveplanet.ru, kinopoisk.ru, mamba.ru, go.mail.ru, love.mail.ru, auto.ru, otvet.mail.ru, sprashivai.ru и avito.ru.
    Имеются основания полагать, что к созданию и распространению троянца причастна новосибирская компания Trioris, работающая по следующей схеме монетизации: компания отыскивает какое-либо приложение, договаривается с его разработчиками и, добавив в состав программы дополнительные плагины, занимается ее распространением, либо заключает договор дистрибуции с третьей стороной — например, компанией Amonetize, распространяющей Trojan.Triosir.1 с использованием возможностей партнерской программы Installmonster.

    Источник: Dr.Web
     
    machito, Dragokas, Kиpилл и ещё 1-му нравится это.
  16. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Хотя речь идет о Trojan.Triosir.1 а не о Trojan.Triosir.7. О последнем найти инфу (как по мне) казалось не так то просто.
     
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Chinaski, детект только web добавил? Файлы ещё сохранились? Если можно, загрузите на http://rghost.ru/ и скиньте мне в личку. Постараюсь и остальные вирлабы пнуть.
     
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    по вирустотал там другой детект, вот описание его https://vms.drweb.com/virus/?i=4018055
     
    Chinaski нравится это.
  19. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    regist, да, все верно. Детектится несколько иначе.
     
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268

Поделиться этой страницей