Браузер Piratium

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#1
Всем доброго времени суток!
Не так давно. коллега на работе зашел на зайцев нет, послушал песенку и у него в систему установился браузер Piratium. Что-нибудь слышали об этом браузере? У них даже сайт есть. Браузер естественно установился самовольно, ни выдавая ни каких запросов :Ireful1: браузер удалили, после удаления висел файл в модулях пространства ядра. На вирустотал признан чистым. Отправил в лабораторию др.веб еще в прошлую среду. Не знаете сколь долго может идти ответ? Ни когда раньше так файлы не отправлял на анализ.
 

Phoenix

Активный пользователь
Сообщения
2,093
Симпатии
2,048
Баллы
373
#2
Отправил в лабораторию др.веб еще в прошлую среду. Не знаете сколь долго может идти ответ? Ни когда раньше так файлы не отправлял на анализ.
Бывает до двух месяцев.. А это не скрытая реклама ? На базе хромиума можно любые сборки делать.
(нашёл его, посмотрим)
 
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#3
)) конечно реклама, и даже не скрытая а самая что ни на есть))
У меня вызывает сомнения легитимность браузера, т.к. установился самовольно, в этом то собственно и весь вопрос.

P.S. насколько я видел много другого ПО обсуждается на форуме, ни как ни думал что это будет принято за рекламу.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,231
Симпатии
5,834
Баллы
918
#4
Не знаете сколь долго может идти ответ?
по разному, в большинстве случае ответ на следующий день (бывает, что и в тот же), а иногда тянут с ответом неделю или, но может быть и дольше. И отсылать лучше сразу в несколько вирлабов. В теме Как и куда можно отправить подозрительные файлы на анализ указано куда их можно послать.

браузер Piratium. Что-нибудь слышали об этом браузере? У них даже сайт есть. Браузер естественно установился самовольно, ни выдавая ни каких запросов браузер удалили, после удаления висел файл в модулях пространства ядра. На вирустотал признан чистым.
Лучше поискать установщик этого браузера и отправить его. Если этот браузер не показывает никакой рекламы, то вердикт по нему скорее всего так и останется - чистый.
 

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#5
Да, от Зайцева и Др.Веб уже неделю нет ответа, скинул еще на 15-20 адресов. О результатах отпишусь. Надеюсь не одному мне это интересно :Biggrin:
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,231
Симпатии
5,834
Баллы
918
#6
Зайцев это не вирлаб, от него вообще ответа ждать не надо ;). Там просто по мере накопления информации пополняется база AVZ. Для этого и этой темой можно воспользоваться.

Что-нибудь слышали об этом браузере? У них даже сайт есть.
последнее время начал замечать в логах юзерах браузер Torch, у него тоже сайт есть и тоже похоже из разряда adware.
коллега на работе зашел на зайцев нет, послушал песенку и у него в систему установился браузер Piratium. Что-нибудь слышали об этом браузере?
Я о нём раньше не слышал, сейчас из интереса зашёл на зайцев, скачал загрузчик первой попавшейся песни. Запускаю предлагает установить браузер, но Amigo.
proxy.php?image=http%3A%2F%2Fi61.fastpic.ru%2Fbig%2F2014%2F0610%2Fe3%2F8c6f56256d900ed085f399b79e5153e3.png&hash=85e578cca1ac252e2fc3498bd9f08420

ссылка на результат проверки этого загрузчика на VT
 
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#7
О! Заходил на сайт коллега, видимо на галочки не обратил внимание. В любом случае навязывание этих браузеров некорректно и возмутительно)
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,231
Симпатии
5,834
Баллы
918
#8
последнее время начал замечать в логах юзерах браузер Torch
а ещё из числа браузеров которые самовольно устанавливаются Zaxar Game Browser, правда последнее время его вроде реже видно.
О! Заходил на сайт коллега, видимо на галочки не обратил внимание. В любом случае навязывание этих браузеров некорректно и возмутительно)
Это я скачал через загрузчик
proxy.php?image=http%3A%2F%2Fi62.fastpic.ru%2Fbig%2F2014%2F0610%2F99%2F72c3456a1c95f3b885b1cf32e7268a99.png&hash=c4ef1ea187a9f03eaac643b882cea6c7

так что невнимательность тогда уже не этапе скачивания загрузчика - что качается не .mp3 а какой-то .exe при чём размером всего 304 Kb и современного пользователя уже само предложение через загрузчик должно настораживать.Сейчас скачал и установил себе на виртуалку это Piratium, ничего плохого он не делает, так что детект вряд-ли кто-то на него добавит. А вот если вы найдёте загрузчик который скачали с зайцев и через который он установился, то на него уже должны.
 

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#9
так что невнимательность тогда уже не этапе скачивания загрузчика - что качается не .mp3 а какой-то .exe при чём размером всего 304 Kb и современного пользователя уже само предложение через загрузчик должно настораживать.
Согласен, тут нужен глаз да глаз. Сейчас много различной шляпы впаривают, самый надежный вариант пользоваться только проверенными сайтами.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#10
По условиям соглашения посетителя сайта с zaycev.net гостям предоставляется загрузчик, который автоматом может загрузить программу от партнеров. Ранее ПО шло от mail.ru. Оно и до сих пор там есть. Когда кликаете, смотрите, что за файл предлагается, если в конце стоит расширение exe, отменяйте загрузку. Пару раз кликнете - пойдет mp3.

Но, если вы зарегистрируетесь на сайте zaycev.net, то сможете выбирать "загрузить mp3" или через загрузчик, как и написал вам супермодератор выше. После регистрации будете авторизовываться, выбирать песни, исполнителей и загружать новинки без ограничений. Если там стать фанатом какой-то группы или исполнителя (есть такая кнопочка), то на вашу почту будут приходить сообщения о появлении новинок. Спама от них не вижу вообще. За много лет.Piratium, не качал, но скорее всего банальный конструктор на основе хромиума-хрома. Видимого вреда нет, но и пользы тоже.
 
Последнее редактирование:

Phoenix

Активный пользователь
Сообщения
2,093
Симпатии
2,048
Баллы
373
#11
Пару раз кликнете - пойдет mp3.
Тоже пользуюсь этим сайтом. Даже проще - можно выбрать формат.
На загрузчик доктором был детект, потом сняли. Так что от него не дождётесь..:Bye:

В Piratium встроили tor и что то из торентов - в общем качать всё и отовсюду через него.

Как бы странно не прозвучало, но загрузчики - это партнёрксая программа - вполне легальный бизнес и за ним будущее. имхо.:Dirol: (как то же надо окупать расходы).
 
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#12
К этому моменту получен только один ответ, от Fortinet. Что бы не казаться голословным, процитирую:

Hi,
Thank you for submitting the sample to Fortinet. Our analysis shows that the sample with MD5:415b640145adf7964798a528b0708a83 submitted by you is not infected with any malicious code.
If you have any other questions, please contact us again.
Regards,
AV Lab - Jerome
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,231
Симпатии
5,834
Баллы
918
#13
В последнее время я начал его в логах юзеров встречать, юзеры разумеется не знают откуда он взялся.
 

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#14
вчера пришел ответ от Dr.WEB которому направлял файл еще в первый день. Цитирую:

Ваш запрос был закрыт Автоматической Системой в связи с тем, что на данный момент найденная Вами угроза уже обнаруживается антивирусом Dr.Web.
В Службу вирусного мониторинга компании «Доктор Веб» поступает большое количество запросов от пользователей. Образец угрозы, присланной Вами, был прислан другим пользователем ранее и уже проанализирован вирусными аналитиками «Доктор Веб». Соответствующая запись в вирусной базе Dr.Web уже существует.

Угроза: Trojan.Triosir.7
Спасибо за сотрудничество.
 

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#15
Специалисты компании «Доктор Веб» обратили внимание на то, что в последнее время чрезвычайно широкое распространение получили вредоносные программы, предназначенные для демонстрации в окне браузера навязчивой рекламы и подмены контента веб-страниц. Одной из таких угроз стал новый троян Trojan.Triosir.1.
Trojan.Triosir.1 распространяется с использованием ресурсов партнерской программы Installmonster вместе с различными приложениями и использует для своей установки инсталлятор Amonetize (amonetize.com). Функциональность Trojan.Triosir.1 в целом схожа с возможностями троянцаTrojan.Zadved.1. Основное назначение Trojan.Triosir.1 — подмена контента веб-страниц посредством технологии веб-инжектов, при этом реклама включает ссылки на различные мошеннические ресурсы. Основные модули троянца реализованы в виде плагинов к популярным браузерам. В частности, Trojan.Triosir.1 распространяется вместе с приложением для создания снимков экрана Screeny, устанавливающим в процессе своей инсталляции одноименный плагин для браузеров Mozilla Firefox, Chrome и Opera, который остается в системе даже после удаления основного приложения.
Установленные в инфицированной системе плагины выполняют закачку основного файла вредоносного сценария с удаленного сервера. Данный сценарий, предназначенный для подмены рекламных модулей и встраивания в веб-страницы посторонней рекламы, начинает работать не сразу, а «выжидает» некоторое время, чтобы усыпить бдительность пользователя. При этом в его структуре прописаны специальные алгоритмы внедрения рекламы в страницы некоторых наиболее популярных интернет-ресурсов, например, социальной сети «ВКонтакте», «Одноклассники» и др. Вредоносный скрипт обладает достаточно продвинутой функциональностью: например, он умеет получать информацию о поле и дате рождения пользователя из его профиля в социальной сети.
Среди рекламируемых троянцем ресурсов преобладают мошеннические сайты, подписывающие пользователя на различные услуги путем отправки на указанный им номер мобильного телефона SMS с кодом подтверждения. Помимо наиболее популярных и посещаемых сайтов, Trojan.Triosir.1 умеет подменять рекламу и на веб-страницах, не входящих в «привилегированный список». При этом троянец обладает специальной функцией распознавания «плохих» с точки зрения рекламодателей сайтов с использованием специального фильтра ключевых слов — на таких ресурсах реклама не подменяется. Кроме того, Trojan.Triosir.1 специально ищет на веб-страницах и заменяет своими модулями рекламу нескольких партнерских сетей, среди которых — lcads.ru, marketgid.com, visitweb.com, luxup.ru, pcads.ru, gredinatib.info, fulldl.net, adcash.com, tbn.ru, и некоторые другие. Также в коде троянца предусмотрен набор правил, позволяющих «прятать» некоторые элементы на сайтах my.mail.ru, fotostrana.ru, loveplanet.ru, kinopoisk.ru, mamba.ru, go.mail.ru, love.mail.ru, auto.ru, otvet.mail.ru, sprashivai.ru и avito.ru.
Имеются основания полагать, что к созданию и распространению троянца причастна новосибирская компания Trioris, работающая по следующей схеме монетизации: компания отыскивает какое-либо приложение, договаривается с его разработчиками и, добавив в состав программы дополнительные плагины, занимается ее распространением, либо заключает договор дистрибуции с третьей стороной — например, компанией Amonetize, распространяющей Trojan.Triosir.1 с использованием возможностей партнерской программы Installmonster.

Источник: Dr.Web
 

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#16
Хотя речь идет о Trojan.Triosir.1 а не о Trojan.Triosir.7. О последнем найти инфу (как по мне) казалось не так то просто.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,231
Симпатии
5,834
Баллы
918
#17
Chinaski, детект только web добавил? Файлы ещё сохранились? Если можно, загрузите на http://rghost.ru/ и скиньте мне в личку. Постараюсь и остальные вирлабы пнуть.
 

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#19
regist, да, все верно. Детектится несколько иначе.
 
/div>

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,231
Симпатии
5,834
Баллы
918
#20
Сверху Снизу