Редакция Roem.ru не всегда разделяет мнения своих колумнистов, но готова предоставить трибуну для изложения фактов. Автора данного исследования Roem.ru благодарит за невероятную дотошность.
В последнее время много говорят об успехах Мейл.ру. Надо заметить, что компания действительно движется вперед и планомерно улучшает свои сервисы. Но параллельно она занимается строительством ботнета и массовой раздачей весьма подозрительного софта. Софт этот выглядит, как троян, ведет себя, как троян, даже воспринимается, как троян, но таковым почему-то не признается. Данная статья попробует пролить свет на методы распространения продуктов Мейл.ру. Некоторые из этих методов не только делают жизнь российских пользователей значительно хуже, но и портят рыночные условия, поощряя другие компании участвовать в таких играх.
Есть у компании такая программа - Guard.mail.ru. Она не имеет собственного дистрибутива, его невозможно скачать на компьютер отдельно от других программ Мейл.ру. В каталоге софта на Мейле нет упоминания данного продукта. Он не имеет собственного Пользовательского Соглашения. Единственное место, где можно что-то о нем прочитать – это Помощь по Агенту@Mail.ru, но там перечислены не все функции. Не надейтесь найти этот раздел с помощью поиска по Помощи.
При установке он не обозначается как отдельный компонент (исключение - Агент@Mail.ru) - впрочем, как и AlterGeo magic scanner :) Guard.mail.ru устанавливается в систему всегда, как отдельный компонент, не связанный ни с одним из продуктов. То есть вы можете удалить Спутник, Интернет@Мейл.ру или ICQ, но Guard останется в системе, тихо ожидая своего часа.
Как установить Guard.mail.ru? Есть несколько способов.
- Установить Agent@Mail.ru. В процессе вам покажут окошко с чекбоксами, где предлагается сделать Мейл стартовой страницей, поиском по умолчанию, поставить Спутник@Mail.ru и Guard.mail.ru. Кстати, обе программы будут вам установленны даже в том случае, если вы сняли галочки.
- Установить себе ICQ – с сайта http://icq.com, либо с http://icq.mail.ru. В процессе установки, вам про Guard не скажут и отказаться от его установки не дадут. Зато в списке "настройка установки" будет пункт "защищать настройки браузеров".
- Получить письмо от любого абонента почты Мейл.ру со вложением, добавленным с помощью сервиса http://files.mail.ru. Вы открываете письмо, хотите скачать файл. Вам предлагают воспользоваться быстрым скачиванием, которое вы и выбираете и вместо ожидаемого файла получаете exe "загрузчика@mail.ru". При его установке тоже появляются опции, в которых спрятан Guard. Если снять галочки, Спутник и Guard все равно будут установлены.
- Установить себе Спутник@Мейл.ру. Установить браузер Интернет@Мейл.ру.
- Установить софт одного из партнеров Mail.ru, прикрепляющих к своему софту Спутник и Гард. Например, Мультибар. Во время установки вам предложат установить Спутник.
Попутно прилетит Guard, но вы об этом не узнаете… до поры, до времени. Надо заметить, что это очень популярный способ установки тулбаров. Его используют Яндекс, Google, Microsoft и многие другие.
- Установить любой софт с поддерживаемых Мейлом "каталогов софта". Хотите установить Opera, Skype, uTorrent или что угодно еще - во время установки вам предложат поставить Спутник. Эта тема была раскрыта еще в прошлом году на Хабре. Разумеется, снятие галочек во время установки не мешает попасть на пользовательский компьютер Спутнику и Гарду. Основное преимущество данного канала распространения в том, что Мейлу не нужно договариваться с партнерам, издающими софт – достаточно договориться с порталами и дать им свою обертку. Получается, что компания вроде как и ни при чем (представители компании говорят, что их цифровая подпись, украшающая, например, Internet Explorer или Google Toolbar является абсолютно нормальным делом).
- При обновлении Агента, ICQ, Спутника. Вы можете удалить Guard (сложно, но возможно, об этом ниже), но, если на компьютере остается установленным другой софт от компании Мейл.ру, при обновлении этих продуктов обновится и Гард, а если он был удален, то молча установится заново.
Предположим, что вы выполнили один из перечисленных выше шагов и стали обладателем самого совершенного средства защиты вашего компьютера. Какую пользу вы можете из этого извлечь?
Функционирование Guard.Mail.ru
1. Защита поисковых настроек
Любой браузер содержит в себе модуль защиты поисковых настроек. Это не удивительно, так как партнерский поиск – это основной, а местами единственный способ монетизации браузеров. Если бы не возможность партнерства с поисковыми машинами, браузерам бы пришлось продавать себя, как это делает ряд мобильных браузеров (например, iCab для iPhone) и как делала Opera лет десять назад. Исключение - Chrome, который хочет, чтобы использовался поиск Google. Кстати, он скоро начнет привязывать пользователей и к Google+ (первые эксперименты уже ведутся). Другое исключение - Internet Explorer, который является "окном" в интернет для компонентов Windows.
Но после установки Guard@Mail.ru вас начнут защищать куда более интенсивно. Без предупреждения "В настройках интернета что-то изменилось" вы не сможете поменять поиск в браузере (любом). Нам предложат "принять" изменения или "заблокировать" их. Помимо этого, можно войти в настройки, чтобы отключить уведомления (невозможно, если вы поставили галочку "не предупреждать в дальнейшем", отключать уведомления не рекомендуется) и узнать что именно Гард блокирует в данный момент.
Например, если у вас стоит Internet Explorer, после установки Гарда он сообщит об изменении установленной по умолчанию поисковой системы (Bing). Подумав, вы оставляете Bing, и тут уже выскочит Guard: "ой-ой, что-то изменилось"(установка Гарда в большинстве случаев сопровождается изменением поисковой системы по умолчанию, от чего отказаться с помощью снятия галочки в чекбоксе нельзя).
Замечу, что подобные модули есть не только у браузеров, но и у большинства тулбаров (Яндекс, Google, Microsoft, Qip и т.д), но то, что Guard идет отдельным компонентом, никак с основным продуктом не связанным, немного удивляет: предположим, вы удалили все видимые невооруженным взглядом программы Мейла, а Гард, который прячется в процессах, не заметили. В этом случае будьте готовы получать подобные сообщения, с завидной регулярностью.
Угомонить Guard с его раздражающей опекой можно только одним способом – нажать чекбокс "больше не предупреждать" и кликнуть по кнопке "заблокировать". С этого момента изменения станут необратимыми, а главное – предупреждений, а следовательно, и настроек Гарда, вы больше не увидите. Наслаждайтесь полной безопасностью.
2. Защита домашней страницы
Работает по аналогичному принципу, но защищает только от смены homepage на Google или Яндекс. Любой другой сайт вы можете без проблем установить в качестве домашней страницы.
3. Защита браузера, используемого по умолчанию.
Если вы стали счастливым обладателем набирающего популярность браузера "Интернет" от компании Мейл.ру, то любая попытка сменить установленный по умолчанию браузер на Firefox, Internet Explorer, Opera, Chrome, Яндекс.Интернет и т.д., будет жестко пресекаться Гардом.
Как только Firefox предложит вам установить себя в качестве браузера по умолчанию, вы увидите знакомое окошко.
4.Своевременные рекламные предложения
Что происходит, если вы не пользуетесь самым безопасным, быстрым и удобным браузером "Интернет" от Мейл.ру? Вам снова поможет Guard.Mail.ru :) Однажды, когда вы будете серфить веб с помощью Оперы, например, или Google Chrome, Гард покажет вам вот такое окошко. Чувствуете заботу?
5.Удаление лишних продуктов
На данный момент "лишними" Guard@Mail.ru считает продукты Рамблера, QIP и малоизвестной компании get-styles.ru. После установки, например, ICQ (и идущего комплектом Гарда), ничего не происходит. Но после вашего согласия с предложением Гарда – “больше не предупреждать”. Вот, например, последовательнсость, которую удалось зафиксировать:
Windows XP, IE7
Ставим ICQ c http://icq.mail.ru
Ставим get-styles c http://get-styles.ru
Запускаем IE, соглашаемся с предложением Гарда "больше не предупреждать" и жмем "заблокировать"
Перезапускаем IE – тулбара get-styles больше нет
А если копнуть чуть глубже, то можно посмотреть и большую конкретику:
Качаем GuardMailRu.exe версии 1.0.0.300 или 1.0.0.303 (оба файла добыты с серверов обновления Гарда) и с помощью Process Explorer видим такую картину:
Аналогично с QIP:
И c Рамблером:
Казалось бы, как Guard.Mail.Ru относится к чужой программе? Зачем имеет в своем процессе строки обращения к Кипу, Рамблер-ассистенту или get-styles? Интересно, много ли пользователей пишет в службы поддержки пострадавших компаний, что их программы перестали работать?
И еще любопытный вопрос – почему Guard таким же образом не удаляет Яндекс.Бар, Google Chrome и Google Toolbar? Ваши предположения?
Возможно, кто-то более скрупулезный, чем я, найдет здесь больше интересного. Например, иногда удаление происходит при апдейте Гарда, однако, зафиксировать точную последовательность действий для воспроизведения данного поведения не удалось.
6.Хитрая корневая система Обратите внимание, как элегантно прописывает себя Мейл в браузер Internet Explorer 9 – стрелочка для отвлечения внимания – оцените картину целиком. Микрософт и не подозревает, как в России обращаются с Бингом :)
А вот откуда ноги растут:
А вот еще пример. Пусть это и не работа Гарда, но техника Мейл.ру узнаваема – скрипт Спутника в Firefox 9 замещает любые обращения к адресной строке браузера, если они не обращены к поиску Мейла, а до кучи блокирует своим плотным телом любые аддоны, которые так или иначе взаимодействуют с адресной строкой.
7.Замещение собой чужих продуктов
Яндекс распространяет панель для Оперы. Но зачем, спрашивается, она нужна? Ведь есть более приятная на ощупь и милая панель Мейл.ру. Казалось бы, почему нельзя пользоваться обеими? Пока не известно, чем именно панель Яндекса не угодила нашему Холдингу, но панель Мейл.ру удаляет ее во время собственной установки. Проверить это просто. Скачайте по указанной выше ссылке панель для Оперы от Яндекса, после чего установите Агент или ICQ. Кстати, на случай, если вдруг, файлы, о которых я пишу после выхода статьи в свет будут заменены на другие (логика "а руки-то вот"), снизу будут приведены ссылки на те файлы, которыми я и мои знакомые пользовались для исследования каждой из этих ситуаций – пожалуйста, пользуйтесь ими, все файлы подписаны компанией Mail.ru и вы можете не сомневаться в их подлинности. Думаю, что панели для Оперы что Яндекса, что Мейла нужны лишь очень преданным фанатам этих компаний, но зачем удалять чужой продукт при установке?
Как удалить Guard.Mail.Ru?
Если вдруг вы вдруг осознали, что помощь Мейла в охране вашего покоя вам больше не нужна, то самое время удалить его и следы его пребывания. Сначала удалите Спутник, Агент, Аську, Интернет@МейлРу. Затем найдите Гард, он прячется в процессах и службах.
Чтобы удалить его следует выполнить следующие действия:
- Отключить службу Guard
- Отключить процесс Guard
- Удалить Guard через панель управления Windows
- Удалить из системы все файлы, раскиданные Гардом по системным папкам
- Удалить из about:config в Firefox все, что содержит в себе Мейл.ру (или сбросить на дефолт), и почистить файлы настроек в остальных используемых браузерах
- Удалить из реестра все связанные с Гардом ветви
Здесь проще описано, но речь про сам Гард, и ничего про продукты его жизнедеятельности.
Итого
Программа Guard Mail.ru защищает только саму себя и продукты компании Мейл.ру, а не пользовательские настройки. Помимо этого несет незаявленную рекламную функцию, а также функцию удаления сторонних продуктов. В совокупности, все поведение данной программы, а также методы ее распространения требуют огласки.
А теперь о главном. Ради чего все это написано?
- Ради того, чтобы люди, которые пишут такие статьи чуть больше понимали, как именно Холдинг завоевывает популярность
- Ради того, чтобы большие компании относились к своим пользователям с уважением – без открытого диалога о подобных сторонах бизнеса этого вряд ли можно добиться
- Ради того, чтобы некоторыми перечисленными примерами (благо, все файлы доступны к скачиванию, и любой пытливый ум может найти еще много из того, чего я не нашел) заинтересовались другие компании. Google, Яндекс, Рамблер, РБК, Microsoft, Опера, Mozilla, Скайп, вам нравится, когда ваши программы оборачивают в "загрузчики Мейл.ру" или в Спутник установщики? Или может быть вы боитесь, что не хватит аргументов, чтобы бороться с Мейлом в суде? Так потренируйтесь на тех, кто у себя ваши программы выкладывает в "оболочке" от Мейла. А в других примерах вы ничего криминального не видите? От ваших браузеров пользователя защищают – если не ошибаюсь, это как-то связано с конкуренцией, возможно, даже с недобросовестной
- Ради того, чтобы те, кому мы доверяем в вопросах безопасности – антивирусные компании (Лаборатория Касперского, Eset, Аваст, Avira, AVG, TrendMicro, McAfee и многие другие) стали наконец защищать менее просвещенных пользователей от программы Guard@Mail.ru в ее текущем виде (блокировать, удалять, нейтрализовывать)
- Ради того, чтобы журналистам, которые пишут о взрывном росте рыночной доли браузера Mail.ru или его поиска, было понятно, что влияет на этот рост и как он влияет на чистоту Рунета
- Ради того, чтобы Яндекс наконец перестал быть таким безразличным по отношению к пользователям. Больше половины Рунета пользуется вашим поиском – научитесь уже отличать обычные программы от тех, что обернуты в тулбарный установщик, от которого нельзя отказаться. У вас же есть антивирусы – свой и партнерский. Начните уже удалять из индекса сайты типа besplatnyeprogrammy.ru, openprog.ru и softportal.com (Почему?), как делаете это с фишинговыми сайтами. Они не приносят пользы обществу, а наносят лишь ущерб (я потратил почти час восстанавливая компьютер мамы после ее попытки установить архиватор – про WinRar она не слышала). Google, а вы почему чистотой не занимаетесь? Думаете, раз у вас доля рынка меньше, значит и внимания к вам меньше?
- Ради того, чтобы компании Мейл.ру стало стыдно, и она начала наконец развивать свои сервисы, а не думать о том, как бы навязать то, что есть. Помимо пользователей, поймите, вы своими действиями не только с конкурентами воюете, но и людям жизнь портите, а также неконкурирующим с вами компаниям вредите – неужели прямо-таки цель оправдывает любые средства?
- Ради того, чтобы инвесторы компании видели не только удачные инвестиции ее основателя в Zynga, Groupon, Facebook и т.д, но и задумались о бизнесе компании в России сегодня. Как относиться к акциям – это выбор инвесторов, но нет ничего хуже, чем заблуждение, вызванное красивой вывеской и отсутствием информации о том, что творится за ней
Пожалуйста, не подумайте, что это все. В ближайшие месяц-два я напишу статьи с подборками материалов о Яндексе, Google, Microsoft, QiP и других интернет-компаниях. Если у вас вдруг накопилось – в смысле есть информация, которая поможет мне в более полном отражении картины мира - не поленитесь – напишите в комментах, про какую компанию вам известно о ее грязных методах, мы свяжемся и обменяемся информацией. Отдельно благодарен буду тому, кто перепостит статью на Хабр. Еще больше буду благодарен, если кто-нибудь не поленится мой труд перевести и запостить на Techcrunh. Есть знакомые IT или экономические журналисты? Не поленитесь зашерить им ссылочку на эту статью.
Спасибо тем, кто мне помогал в подборке фактов. И спасибо тем, кто дочитал до конца.
А для самых терпеливых – ссылки на файлы, которые можно использовать для проверки описанного поведения:
1. Интернет.Мейл.ру - http://narod.ru/disk/41868222001.352ba406dd377cab5b1c148afbac86b9/InternetInstaller.exe.html
2. ICQ Mail.ru - http://narod.ru/disk/41870000001.66fec803507d20e5c68da2286c27f656/install_mailru_icq7.exe.html
3. ICQ с icq.com - http://narod.ru/disk/41872687001.37ec0c3b4b0ab83f4da7075a3475934a/install_icq7.exe.html
4. Спутник для IE - http://narod.ru/disk/41870395001.751f82b4279f26d1cfa126d7ce8ff73a/mailrusputnik.exe.html
5. Агент для Win - http://narod.ru/disk/41871303001.8acb9bf9eaba9ad9a87ef98326a93731/magentsetup.exe.html
6. GuardMailRu_1.0.0.301.exe - http://narod.ru/disk/41893649001.830725b2ece58db5c940b9265f438881/GuardMailRu_1.0.0.301.exe.html
7. GuardMailRu_1.0.0.303.exe - http://narod.ru/disk/41893728001.4c78ac1373c778cd0223b40b6ea48556/GuardMailRu_1.0.0.303.exe.html
8. Skype на openprog.ru - http://narod.ru/disk/41887754001.9708a3e33d0946ab740505a860f16d2f/SkypeSetup.exe.html
9. Skype на softportal.com - http://narod.ru/disk/41881908001.e1e76836c44d0e07b05ba5fa2efe9870/SkypeSetup.exe.html
10. Skype на besplatnyeprogrammy.net - http://narod.ru/disk/41880176001.e7f3649ab5d999e551f1ddc7e8e42cc5/Skype_Rus_Full_Setup.exe.html
11. Skype на freesoft.ru - http://narod.ru/disk/41883481001.1222ee244480d516ee41ac38420975c2/sc-SkypeSetup_5.8.0.154.exe.html
12. Opera на openprog.ru - http://narod.ru/disk/41885758001.1c15ae5723dd28cddf80aa212d12c26a/Opera_1111_ru_Setup.exe.html
13. Internet Explorer 9 на openprog.ru - http://narod.ru/disk/41885389001.737e02ad6be0224dd19b7e036cefb0cb/IE9-Windows7-x86-rus.exe.html
14. Internet Explorer 9 на besplatnyeprogrammy.net - http://narod.ru/disk/41878650001.1f02c110d55ef6c8ccc43bff36bee1c4/Internet_Explorer_9_Win7_x32_Rus_Setup.exe.html
15. PuntoSwitcher на openprog.ru - http://narod.ru/disk/41887377001.1a972f46473d19ae558ddcaf7ede2076/PuntoSwitcherSetup.exe.html
16. Avast на beplatnyeprogrammy.net - http://narod.ru/disk/41877227001.e50999d0f09e4e181ae9b3ef99f9c688/Avast_Free_Antivirus_Rus_Setup.exe.html
Автор - Анонимный Исследователь.
Посмотрел наискосок.. Насколько я понял, функция гарда — защита_настроек_пользователя, а удаление_программ (каких-либо) это не функция гарда, не то, для чего его делали. Исходя из этой логики, сравнение с антивирусами, удаляющими вирусы, и фаерволом, блокирующим соединения — некорректно, потому что у них это заявленный функционал. И логичное и правильное поведение программы гард было бы написать пользователю при установке «Ваша программа блабла несовместима с гардом. Либо мы установим гард, удалив Вашу программу, либо мы оставим Вашу программу и, увы, не установим гард.» Но молча сносить пользовательскую программу — совершенно некорректно, потому что этого не ожидает пользователь и это совершенно никак не относится к прямому назначению гарда. Или я неправильно понял представителей Mail.Ru? (кстати, даже антивирусы спрашивают, что делать с найденными вирусами, пока не нажмут «выполнить решение для всех», или я не прав? и фаерволы спрашивают, что делать с подозрительным соединением, пока им не нажмут «выполнить решение для всех» — и даже гард так делает в поле своей функциональности — изменении настроек браузеров и поиска, но почему-то в чужую функциональность — удаление софта — он лезет безо всяких предупреждений и вопросов)