Adware: Знать или бояться?

machito, Ну так прозяблили уже мелкомягкие этот способ. Я предупреждал.
Всё поможет, делай также, только вводи в поле добавления apps.skype.com - без протокола.
Работа скайпа должна быть полностью завершена. Ни в трее, ни в процессах этого проныры быть не должно!
Кукисы Скайпа также должны быть загодя очищены в нем самом, т.к. рекламопоказы основаны на кукисах.
Но есть еще один способ. Я его здесь не описывал и нигде не описывал публично. Потому что опять прозяблят и он не будет действовать. Пусть он остается домашним заданием для частного личного приватного использования.
 
SNS-amigo, замечу такую мелочь. Кода прописал в свойствах ослика, http без добавления s реклама была, добавил, исчезла.
Ну и 127.0.0.1apps.skype.com.
Только не стало аватаров списка, в смысле когда выбираешь конкретного то фото нет, только ник.
Главная с постоянно крутящимся кружком, буксует короче... :Biggrin:
 
Протокол, как я и писал, сначала был безопасный с буквой "s", потом прозяблили и забуксили его.
Теперь без протокола вообще, система сама разберется на каком реклама чавкает. А предыдущий url удалить вообще.
Только не стало аватаров списка
Ты ж прописал свой адрес, какие уж теперь аватары. :Biggrin:
Если помнишь свои данные для авторизации, то заверши процесс и грохни папку Skype в AppData.
 
Я когда то задавался этим вопросом и нашел совет вписать в хостс:
127.0.0.1 live.rads.msn.com
127.0.0.1 ads1.msn.com
127.0.0.1 static.2mdn.net
127.0.0.1 g.msn.com
127.0.0.1 a.ads2.msads.net
127.0.0.1 b.ads2.msads.net
127.0.0.1 ad.doubleclick.net
127.0.0.1 ac3.msn.com
127.0.0.1 rad.msn.com
127.0.0.1 msntest.serving-sys.com
127.0.0.1 bs.serving-sys.com
127.0.0.1 flex.msn.com
127.0.0.1 ec.atdmt.com
127.0.0.1 cdn.atdmt.com
127.0.0.1 db3aqu.atdmt.com
127.0.0.1 cds26.ams9.msecn.net
127.0.0.1 sO.2mdn.net
127.0.0.1 aka-cdn-ns.adtech.de
127.0.0.1 secure.flashtalking.com
127.0.0.1 adnexus.net
127.0.0.1 adnxs.com
127.0.0.1 *.rad.msn.com
127.0.0.1 *.msads.net
127.0.0.1 *.msecn.net

тогда в скайпе не будет рекламы в верхнем рекламном прямоугольнике (типа купите часы или косметику)
у меня сработало
 
Сергей, часть адресов из этого списка старые и уже не действуют. Больше половины точно. Это очень старая рекомендация, но некоторые помогут, так как отключают основные адреса, от которых MS и партнеры не могут отказаться.
 
Сергей, но они и сейчас не помешают. :Biggrin: А то вдруг кто-то вредоносный захочет заиметь ранее бывший у MS адрес. Такие случаи были. В этом году один бывший сотрудник так купил за 10 долларов google.com, который они забыли оплатить. Ладно по доброте душевной отдал обратно, а ведь имел полное право не отдать.
 
Новые критерии оценки Adware вступят в силу с 31 марта 2016 года

Компания Майкрософт пересмотрела отношение к Adware, определила новые критерии и приняла меры для пресечения инцидентов, подобных скандальному случаю с Superfish от Lenovo в этом году. Присутствие этой навязанной покупателям программы повышало риски в отношении MitM-атак: утилита использовала самоподписанный корневой сертификат, позволяющий создавать сертификаты для HTTP-соединений и заменять ими существующие, что облегчало перехват трафика, в том числе для атакующих.

По новым критериям оценки (замечу, что подготовка к ним велась с начала 2014 года), нежелательным будет считаться программное обеспечение, выполняющее показ контекстной рекламы и мешающая качественной работе на компьютере, независимо от того, согласились вы на его выполнение или нет. А реклама не должна теперь вводить вас в заблуждение при посещении других сайтов или при скачивании файлов.

Согласно новым критериям программы показа рекламы смогут использовать лишь «поддерживаемую браузером модель расширения для установки, исполнения, отключения и удаления». Выбор и управление в этом случае принадлежат пользователям, и Майкрософт полны решимости защитить это право.

Майкрософт призывает разработчиков в экосистеме соответствовать новым критериям. Потому предоставляет достаточное время для уведомления разработчиков желающих принять новые требования, чтобы сделать свое ПО совместимым. Программы, не соответствующие этим требованиям, будут отслеживаться антивирусным ПО Майкрософт и автоматически удаляться начиная с 31 марта.
 
И снова о вредоносной рекламе на популярных сайтах

Не так давно была шумиха с известным сайтом, требовавшим от пользователей отключить блокировщики рекламы, чтобы иметь возможность читать новости с сайтов. Как оказалось, и реклама там была не простая, а с загрузкой вредоносов. Владельцы потом подсуетились, убрали рекламу и извинились перед читателями. Дурной пример, как известно, заразителен, потому на просторах Интернета вы можете встретить подобные рекламоносные извраты даже на очень популярных и всем известных сайтах.

И вот сегодня, читая новости, я обнаружил такое же на всем известном ресурсе о высоких технологиях cnew.ru
Началось с того, что этот ресурс нежданно-негаданно оказался заблокирован Роскомнадзором (см. скриншот).
Animation.gif
Меня заинтересовало, что такое на сайте могло подвигнуть РКН на такой шаг. Вооружившись средством для обхода блокировки, я решил выяснить, какой материал оказался решающим. Статей-кандидатов оказалось несколько. Я стал открывать каждую, которая мне показалась кандидатом на теоретическую блокировку, и читать ее.

Screenshot_1.png Screenshot_2.png

И тут я обнаружил требование якобы владельцев сайта www.cnews.ru немедленно выключить программу, ограничивающую загрузку баннеров, и оформить подписку на материалы сайта.
В Вашем браузере стоит настройка, которая ограничивает загрузку баннеров. Пожалуйста, отключите её для чтения материалов CNews, или добавьте CNews в исключения.
Подпишитесь на материалы CNews без рекламы, чтобы убрать это сообщение.
Адрес подписки Интернет-издание о высоких технологиях - CNews
Контакты для связи: webmaster@cnews.ru
То есть, буквально повторилась ситуация с другим известным сайтом, что я описал вначале. Таким образом, причина блокировки сайта Роскомнадзором была найдена.
Для теста, конечно, блокировщик рекламы AdMuncher я отключил, но кликать по каждой рекламе на сайте не стал, т.к. поиск вредоносного кода в баннерах сайта в задачу не входил, да и тема эта для другой статьи.

PS. Надеюсь, что владельцы www.cnews.ru вскоре сами смогут решить данную проблему и обелить себя в глазах РКН.
Читателям новостей популярных ресурсов надо быть осторожнее и при обнаружении подобного требования "немедленно выключить блокировщик рекламы и оформить платную подписку" покинуть данный сайт и отказаться от его посещения хотя бы на время. В таких случаях блокировщик рекламы спасает ваш ПК от возможного заражения.
 
20.43 по Москве.
Сайт Интернет-издание о высоких технологиях - CNews оказывается уже РАЗБЛОКИРОВАН.
Требование убрать блокировщик рекламы больше не выходит.
Сайт прекрасно открывается как с блокировщиком рекламы, так и без него.
Вот такая вот рекламная технология.
 
machito, Первый скриншот я сделал в 9.37 по Москве. Пока сохранил, состыковал, написал.
Кстати, сразу после моей статьи открывался не оригинальный сайт, а какое-то зеркало с адресом, в начале которого было w1... Видимо какое-то техническое перенаправление делали, пока избавлялись от вредоноса. Сразу точно не сам сайт открывался, потому я еще ссылки в процитированном сообщении загнал в BB-сод PLAIN. Сейчас убрал, т.к. уже без надобности.

Главное всё-таки, что быстро разблокировали и удалось зафиксировать сам момент блокировки и узнать причину. Такое может произойти с любым сайтом, использующим внешнюю рекламу. Всех не отследишь, но ответственности с сайта это не снимает.

Кстати, на неделе зафиксировал вредоносную рекламу на одном из баннеров SZ, т.к. мой блокировщик его не фильтрует (cпособ пропуска рекламы на избранных сайтах я давно описал в FAQ к AdMuncher).
Я даже снял скриншоты и определил вредоносную кампанию, действующую по всему Интернету с весны 2015 года (вот и сюда докатилась), но на неделе не было времени всё описать.
 
Operation Fingerprint: рекламные объявления не так просты

Malwarebytes сообщили в своем отчете под названием «Operation Fingerprint» о техниках, позволяющих проверять компьютеры посетителей сайтов с помощью встроенных в рекламный баннер сниппетов.

Авторы наборов эксплоитов не опасаются обнаружения со стороны исследователей безопасности. Их новый метод достаточно дешев: 1000 просмотров вредоносных объявлений будут стоить лишь порядка 19 центов.

распространение.png

«Разработчикам вредоносного ПО больше не надо перенаправлять пользователей на вредоносные сайты, распространяющие пакеты эксплоитов. Теперь обнаружить уязвимости на системе жертвы можно с помощью объявлений на легитимных ресурсах. На страницу, распространяющую набор эксплоитов, будут перенаправлены лишь жертвы, использующие уязвимое ПО», - сообщается в отчете Malwarebytes.

Скачать отчет для самостоятельного перевода и изучения:
https://malwarebytes.app.box.com/Operation-Fingerprint
 
И на МакуХу нашлась проруХа

Специалисты компании «Доктор Веб» обнаружили новое семейство троянов Mac.Trojan.VSearch для OS X, показывающее вредоносные рекламные объявления в браузере жертвы.
х.jpg

Цель вирусов: пользователи ПК под управлением OS X.

Распространение: с помощью дропперов, имитирующих программы установки легитимного ПО.

Установка: Пользователь по неосторожности загружает вредонос со сторонних сайтов, предлагающих бесплатное ПО для OS X. Кроме трояна, загружается и инсталлируется ряд нежелательных приложений наподобие MacKeeper, ZipCloud и Conduit.

После инфицирования ПК Mac.Trojan.VSearch обращается к C&C-серверу и загружает сценарий, изменяющий в браузере поисковую систему и устанавливающий нежелательное расширение Browser Enhancer. Потом троян создает в системе скрытую учетную запись и запускает прокси-сервер, встраивающий рекламные баннеры во все веб-страницы с помощью JavaScript-сценария. Вирус ещё собирает данные об истории поисковых запросов пользователя.

«Доктор Веб» зафиксировали уже порядка 1,735 млн запросов на загрузку вредоносного ПО с C&C-серверов, распространяющих троян. К серверам обращалось примерно 478 тысяч уникальных IP-адресов.

Оригинальная статья:
Рекламные троянцы атакуют пользователей OS X
 
...Многие пользователи android-устройств недоумевают по поводу того, что в их устройства так легко интегрируется реклама. Буквально стоит скачать и установить всего одно приложение из официального источника, или даже не скачивать, а играть онлайн, и реклама уже полезла. Как же так? Кому доверять?

Несколько лет назад я уже говорил о том, то android-устройства и ПО Android — это решето несусветное и заранее сделаны для показа рекламы, аналогично как в свое время были созданы браузеры Internet Eplorer, Netscape. А еще раньше в этом преуспели их предшественники из AOL, ставшей наследницей развалившегося сотрудничества Quantum и Apple (конец 80-х).

С начала далёких 80-х и берёт начало "традиция" программных вставок, способствующих рекламе программных и аппаратных продуктов, совместных разработок, партнерских программ сотрудничества, подписных и бесплатных онлайн-сервисов...

Могли ли все последующие разработчики и производители поступать как-то иначе? Нет, конечно, все они пошли по проторенной дорожке. И идут по ней до сих пор. Отсюда такая приспособленность любого ПО и устройств к показу рекламы, загрузке и установке другого стороннего ПО, сбору персональных данных для будущей рекламы, которую можно показать пользователю, и иных способов advertising-а...

И не стоит удивляться наличию рекламы на вашем ПК или мобильном устройстве. Вы купили её просмотр, когда приобрели этот ПК, это мобильное устройство или программное обеспечение к ним.

Advertising.jpeg


Рекламный троян Android.Gmobi.1 — вшит и запрограммирован изначально


В марте текущего года специалисты «Доктор Веб» обнаружили рекламный троян в прошивках около сорока Android-устройств и в программах от известных организаций.

Это программное обеспечение, названное Android.Gmobi.1, является специализированым программным пакетом (SDK-платформой), расширяющим функциональные возможности Android-приложений. SDK используют производители мобильных устройств и разработчики программного обеспечения.

Данное ПО предназначено для дистанционного обновления ОС, сбора аналитических данных, показа обновлений и осуществления мобильных платежей. Во многом специализированный программный пакет похож на настоящий троян, поэтому антивирус Dr.Web для Android детектирует программы, содержащие данный модуль. На данный момент Dr.Web обнаружил троян в продуктах TrendMicro Dr.Safety, TrendMicro Dr.Booster и Asus WebStorage, а также сообщил о находке пострадавшим компаниям. В обновленных версиях программ данных организаций вредонос не содержится.

adw1.png

Вредоносное ПО Android.Gmobi.1 (да, теперь уже его можно называть вредоносным!) имеет несколько модификаций. Встроенные в программы TrendMicro версии SDK содержат исключительно шпионскую функцию, а модификация, находящаяся в прошивках мобильных устройств, при подключении к сети или включении экрана собирает и отправляет на управляющий сервер ряд конфиденциальных данных. В ответ вредонос получает конфигурационный файл формата JSON с некоторыми управляющими командами (создать рекламный ярлык, показать уведомления с рекламой). Дальше ПО отображает объявления в панели уведомлений или в диалоговом окне. Троян может запускать установленные приложения, а также скачивать новые программы по указанными его создателями ссылкам.

Вредонос успешно обнаруживается и обезвреживается, только если не находится в системных каталогах ОС. Для удаления трояна из прошивки необходимо наличие прав суперпользователя. Однако, если Android.Gmobi.1 был встроен в критически важное системное приложение, его удаление может привести к нарушению работы зараженного устройства.
 
Покупая новые ноутбуки... Adware и Spyware вы получаете в нагрузку

Эксперты компании Duo Security протестировали ряд ноутбуков от разных производителей, работающих под управлением операционной системы Windows (версии 8, 8.1 и 10) на предмет безопасности и конфиденциальности персональной информации. Результаты исследования оказались занятными.

Как выяснилось, установленное на шести устройствах антивирусное ПО McAfee использует веб-маяки (небольшие прозрачные файлы изображений) для показа рекламы пользователям и, попутно, для отслеживания их деятельности в Сети.

Семь ноутбуков Lenovo Flex 3, Lenovo G50-80, HP Envy, HP Stream x360, HP Stream, Acer Aspire F15 и Dell Inspiron 14 исследовались на предмет отследивания входящего и исходящего интернет-трафика. Их брали, как говорится, прямо "из коробки".

Как выяснилось при проверке, компания Dell продолжает поставлять ноутбуки с корневым сертификатом eDellRoot, содержащим закрытый ключ. Наличие этого сертификата делает возможной атаку «человек посередине». Если подверженное такое устройство Dell подключится к вредоносной точке доступа Wi-Fi, ее оператор сможет воспользоваться сертификатом и ключом для расшифровки трафика жертвы. А когда пользователь сделает онлайн-покупки или банковские операции в руках злоумышленников окажется конфиденциальная информация (имя пользователя, пароль, cookie-файлы сессий и т.д.).

Эксперты обратили внимание и на функции в Windows 8.1 и 10, предназначенные для сбора данных об устройстве и его владельце. Значительное количество приложений и сервисов, связанных с настройками конфиденциальности, начинают передавать данные на удаленный сервер уже при первом подключении к Интернету. После установки обновлений в рамках «вторника обновлений» многие настройки конфиденциальности восстанавливаются до заводских, однако пользователю об этом не сообщается. Злоумышленники могут воспользоваться установленными по умолчанию настройками для перехвата и перенаправления трафика в случае подключения устройства к незащищенным сетям Wi-Fi.

PDF-документ с подробным описанием и скриншотами прилагается.
 

Вложения

  • bring-your-own-dilemma.pdf
    3.3 MB · Просмотры: 0
Adware OpenCandy: монетизация на установках

Программы данного семейства предназначены для установки на компьютеры различного дополнительного ПО в целях монетизации. Фактически это левые установки или программный спам.

Основной функционал Adware Opencandy сосредоточен в библиотеке OCSetupHlp.dll, которую разработчики самостоятельно встраивают в свои приложения для получения прибыли. После запуска программы данная библиотека сохраняется во временную папку пользователя и при наличии интернет-доступа загружает с управляющего сервера конфигурационный файл. Внутренний скриптовой язык конфигурационного файла синтаксически богат настолько, что даже позволяет выполнять проверку компьютера на наличие установленных антивирусных программ.

После завершения скачивания конфигурационного файла с удаленного узла осуществляется загрузка рекламных предложений, содержащих список программ, инсталляция которых будет предложена пользователю:

Opencandy_v1.png
Рис.1. Пример, в котором еще можно выбрать ставить или нет другое ПО

Если пользователь согласится с установкой данных компонентов или просто не увидит опцию, позволяющую их отключить, то с управляющего сервера будет загружена и запущена на исполнение утилита dlm.exe, которая работает в фоновом режиме и служит для установки на компьютер стороннего ПО. С использованием Adware Opencandy могут быть установлены различные панели и расширения браузеров, утилиты для подмены стартовой страницы, а также другие рекламные приложения — всевозможные "помощники по поиску", средства, демонстрирующие предложения различных товаров, программы-оптимизаторы, "ускорители" и даже вредоносные программы семейства Trojan Crossrider.

Opencandy_v1-2.png Opencandy_v1-3.png Opencandy_v1-4.png
Рис.2. Примеры левых "дополнений" к браузерам.

Сами авторы приложений, использующих Adware Opencandy для монетизации, в отличие от других партнерских программ, не могут управлять списком устанавливаемых на компьютеры дополнительных компонентов и их количеством.

 
Adblock Plus: Запретить нельзя разрешить

Не так давно один за другим прокатились в Сети скандалы, поводом для которых были отказы популярных сайтов в доступе к своему контенту и новостям пользователям, установившим расширения для браузеров Adblock Plus и другие. Один из таких случаев я подробно описал в этой теме.

Напомню подоплёку, посетители этих ресурсов оказываются перед выбором – деактивировать плагин или оформить платную подписку. Тем не менее, подобная практика может являться нарушением принятых в европейских странах законов в сфере защиты конфиденциальности данных.
Согласно законодательству Евросоюза, сайты обязаны запрашивать разрешения у пользователя, прежде чем отсылать файлы cookie (небольшой фрагмент данных, позволяющий аутентифицировать пользователя и отображать соответствующую рекламу) и запускать скрипты, используемые для поиска блокирующих рекламу плагинов. Об этом сообщил польский правозащитник Александр Ханфф, получивший письмо от Европейской комиссии.

scr1.jpg scr2.jpg

Правда, данный запрос на разрешение может тоже напугать посетителей. Пока ресурс будет запрашивать разрешение на запуск скрипта, его содержимое будет недоступно даже для пользователей, не установивших блокирующий плагин. Если сделать контент сайта видимым в процессе получения разрешения, использование скрипта потеряет всякий смысл.

Ханфф также сказал, что теперь он будет использовать письмо Комиссии в качестве основы для разрешения юридических проблем в отношении компаний, которые используют скрипты анти-блокировщика рекламы, и советует другим поступать также.

 
Назад
Сверху Снизу