• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Браузер Piratium

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#1
Всем доброго времени суток!
Не так давно. коллега на работе зашел на зайцев нет, послушал песенку и у него в систему установился браузер Piratium. Что-нибудь слышали об этом браузере? У них даже сайт есть. Браузер естественно установился самовольно, ни выдавая ни каких запросов :Ireful1: браузер удалили, после удаления висел файл в модулях пространства ядра. На вирустотал признан чистым. Отправил в лабораторию др.веб еще в прошлую среду. Не знаете сколь долго может идти ответ? Ни когда раньше так файлы не отправлял на анализ.
 

Phoenix

Активный пользователь
Сообщения
2,090
Симпатии
2,035
#2
Отправил в лабораторию др.веб еще в прошлую среду. Не знаете сколь долго может идти ответ? Ни когда раньше так файлы не отправлял на анализ.
Бывает до двух месяцев.. А это не скрытая реклама ? На базе хромиума можно любые сборки делать.
(нашёл его, посмотрим)
 
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#3
)) конечно реклама, и даже не скрытая а самая что ни на есть))
У меня вызывает сомнения легитимность браузера, т.к. установился самовольно, в этом то собственно и весь вопрос.

P.S. насколько я видел много другого ПО обсуждается на форуме, ни как ни думал что это будет принято за рекламу.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,836
Симпатии
5,567
#4
Не знаете сколь долго может идти ответ?
по разному, в большинстве случае ответ на следующий день (бывает, что и в тот же), а иногда тянут с ответом неделю или, но может быть и дольше. И отсылать лучше сразу в несколько вирлабов. В теме Как и куда можно отправить подозрительные файлы на анализ указано куда их можно послать.

браузер Piratium. Что-нибудь слышали об этом браузере? У них даже сайт есть. Браузер естественно установился самовольно, ни выдавая ни каких запросов браузер удалили, после удаления висел файл в модулях пространства ядра. На вирустотал признан чистым.
Лучше поискать установщик этого браузера и отправить его. Если этот браузер не показывает никакой рекламы, то вердикт по нему скорее всего так и останется - чистый.
 

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#5
Да, от Зайцева и Др.Веб уже неделю нет ответа, скинул еще на 15-20 адресов. О результатах отпишусь. Надеюсь не одному мне это интересно :Biggrin:
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,836
Симпатии
5,567
#6
Зайцев это не вирлаб, от него вообще ответа ждать не надо ;). Там просто по мере накопления информации пополняется база AVZ. Для этого и этой темой можно воспользоваться.

Что-нибудь слышали об этом браузере? У них даже сайт есть.
последнее время начал замечать в логах юзерах браузер Torch, у него тоже сайт есть и тоже похоже из разряда adware.
коллега на работе зашел на зайцев нет, послушал песенку и у него в систему установился браузер Piratium. Что-нибудь слышали об этом браузере?
Я о нём раньше не слышал, сейчас из интереса зашёл на зайцев, скачал загрузчик первой попавшейся песни. Запускаю предлагает установить браузер, но Amigo.

ссылка на результат проверки этого загрузчика на VT
 
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#7
О! Заходил на сайт коллега, видимо на галочки не обратил внимание. В любом случае навязывание этих браузеров некорректно и возмутительно)
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,836
Симпатии
5,567
#8
последнее время начал замечать в логах юзерах браузер Torch
а ещё из числа браузеров которые самовольно устанавливаются Zaxar Game Browser, правда последнее время его вроде реже видно.
О! Заходил на сайт коллега, видимо на галочки не обратил внимание. В любом случае навязывание этих браузеров некорректно и возмутительно)
Это я скачал через загрузчик

так что невнимательность тогда уже не этапе скачивания загрузчика - что качается не .mp3 а какой-то .exe при чём размером всего 304 Kb и современного пользователя уже само предложение через загрузчик должно настораживать.Сейчас скачал и установил себе на виртуалку это Piratium, ничего плохого он не делает, так что детект вряд-ли кто-то на него добавит. А вот если вы найдёте загрузчик который скачали с зайцев и через который он установился, то на него уже должны.
 

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#9
так что невнимательность тогда уже не этапе скачивания загрузчика - что качается не .mp3 а какой-то .exe при чём размером всего 304 Kb и современного пользователя уже само предложение через загрузчик должно настораживать.
Согласен, тут нужен глаз да глаз. Сейчас много различной шляпы впаривают, самый надежный вариант пользоваться только проверенными сайтами.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,195
Симпатии
8,507
#10
По условиям соглашения посетителя сайта с zaycev.net гостям предоставляется загрузчик, который автоматом может загрузить программу от партнеров. Ранее ПО шло от mail.ru. Оно и до сих пор там есть. Когда кликаете, смотрите, что за файл предлагается, если в конце стоит расширение exe, отменяйте загрузку. Пару раз кликнете - пойдет mp3.

Но, если вы зарегистрируетесь на сайте zaycev.net, то сможете выбирать "загрузить mp3" или через загрузчик, как и написал вам супермодератор выше. После регистрации будете авторизовываться, выбирать песни, исполнителей и загружать новинки без ограничений. Если там стать фанатом какой-то группы или исполнителя (есть такая кнопочка), то на вашу почту будут приходить сообщения о появлении новинок. Спама от них не вижу вообще. За много лет.Piratium, не качал, но скорее всего банальный конструктор на основе хромиума-хрома. Видимого вреда нет, но и пользы тоже.
 
Последнее редактирование:

Phoenix

Активный пользователь
Сообщения
2,090
Симпатии
2,035
#11
Пару раз кликнете - пойдет mp3.
Тоже пользуюсь этим сайтом. Даже проще - можно выбрать формат.
На загрузчик доктором был детект, потом сняли. Так что от него не дождётесь..:Bye:
zaycev-net.png
В Piratium встроили tor и что то из торентов - в общем качать всё и отовсюду через него.

Как бы странно не прозвучало, но загрузчики - это партнёрксая программа - вполне легальный бизнес и за ним будущее. имхо.:Dirol: (как то же надо окупать расходы).
 
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#12
К этому моменту получен только один ответ, от Fortinet. Что бы не казаться голословным, процитирую:

Hi,
Thank you for submitting the sample to Fortinet. Our analysis shows that the sample with MD5:415b640145adf7964798a528b0708a83 submitted by you is not infected with any malicious code.
If you have any other questions, please contact us again.
Regards,
AV Lab - Jerome
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,836
Симпатии
5,567
#13
В последнее время я начал его в логах юзеров встречать, юзеры разумеется не знают откуда он взялся.
 

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#14
вчера пришел ответ от Dr.WEB которому направлял файл еще в первый день. Цитирую:

Ваш запрос был закрыт Автоматической Системой в связи с тем, что на данный момент найденная Вами угроза уже обнаруживается антивирусом Dr.Web.
В Службу вирусного мониторинга компании «Доктор Веб» поступает большое количество запросов от пользователей. Образец угрозы, присланной Вами, был прислан другим пользователем ранее и уже проанализирован вирусными аналитиками «Доктор Веб». Соответствующая запись в вирусной базе Dr.Web уже существует.

Угроза: Trojan.Triosir.7
Спасибо за сотрудничество.
 

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#15
Специалисты компании «Доктор Веб» обратили внимание на то, что в последнее время чрезвычайно широкое распространение получили вредоносные программы, предназначенные для демонстрации в окне браузера навязчивой рекламы и подмены контента веб-страниц. Одной из таких угроз стал новый троян Trojan.Triosir.1.
Trojan.Triosir.1 распространяется с использованием ресурсов партнерской программы Installmonster вместе с различными приложениями и использует для своей установки инсталлятор Amonetize (amonetize.com). Функциональность Trojan.Triosir.1 в целом схожа с возможностями троянцаTrojan.Zadved.1. Основное назначение Trojan.Triosir.1 — подмена контента веб-страниц посредством технологии веб-инжектов, при этом реклама включает ссылки на различные мошеннические ресурсы. Основные модули троянца реализованы в виде плагинов к популярным браузерам. В частности, Trojan.Triosir.1 распространяется вместе с приложением для создания снимков экрана Screeny, устанавливающим в процессе своей инсталляции одноименный плагин для браузеров Mozilla Firefox, Chrome и Opera, который остается в системе даже после удаления основного приложения.
Установленные в инфицированной системе плагины выполняют закачку основного файла вредоносного сценария с удаленного сервера. Данный сценарий, предназначенный для подмены рекламных модулей и встраивания в веб-страницы посторонней рекламы, начинает работать не сразу, а «выжидает» некоторое время, чтобы усыпить бдительность пользователя. При этом в его структуре прописаны специальные алгоритмы внедрения рекламы в страницы некоторых наиболее популярных интернет-ресурсов, например, социальной сети «ВКонтакте», «Одноклассники» и др. Вредоносный скрипт обладает достаточно продвинутой функциональностью: например, он умеет получать информацию о поле и дате рождения пользователя из его профиля в социальной сети.
Среди рекламируемых троянцем ресурсов преобладают мошеннические сайты, подписывающие пользователя на различные услуги путем отправки на указанный им номер мобильного телефона SMS с кодом подтверждения. Помимо наиболее популярных и посещаемых сайтов, Trojan.Triosir.1 умеет подменять рекламу и на веб-страницах, не входящих в «привилегированный список». При этом троянец обладает специальной функцией распознавания «плохих» с точки зрения рекламодателей сайтов с использованием специального фильтра ключевых слов — на таких ресурсах реклама не подменяется. Кроме того, Trojan.Triosir.1 специально ищет на веб-страницах и заменяет своими модулями рекламу нескольких партнерских сетей, среди которых — lcads.ru, marketgid.com, visitweb.com, luxup.ru, pcads.ru, gredinatib.info, fulldl.net, adcash.com, tbn.ru, и некоторые другие. Также в коде троянца предусмотрен набор правил, позволяющих «прятать» некоторые элементы на сайтах my.mail.ru, fotostrana.ru, loveplanet.ru, kinopoisk.ru, mamba.ru, go.mail.ru, love.mail.ru, auto.ru, otvet.mail.ru, sprashivai.ru и avito.ru.
Имеются основания полагать, что к созданию и распространению троянца причастна новосибирская компания Trioris, работающая по следующей схеме монетизации: компания отыскивает какое-либо приложение, договаривается с его разработчиками и, добавив в состав программы дополнительные плагины, занимается ее распространением, либо заключает договор дистрибуции с третьей стороной — например, компанией Amonetize, распространяющей Trojan.Triosir.1 с использованием возможностей партнерской программы Installmonster.

Источник: Dr.Web
 

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#16
Хотя речь идет о Trojan.Triosir.1 а не о Trojan.Triosir.7. О последнем найти инфу (как по мне) казалось не так то просто.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,836
Симпатии
5,567
#17
Chinaski, детект только web добавил? Файлы ещё сохранились? Если можно, загрузите на http://rghost.ru/ и скиньте мне в личку. Постараюсь и остальные вирлабы пнуть.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,836
Симпатии
5,567
#18

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#19
regist, да, все верно. Детектится несколько иначе.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,836
Симпатии
5,567
#20