Слух: Ad-Ware подменяет выдачу «Яндекса» (+)

Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте, и могут быть опубликованы без предварительной модерации.

AdWare-программа not-a-virus:AdWare.Win32.BHO в последнее время заражает компьютеры пользователей и приводит к интересным последствиям — при поиске в «Яндексе» на компьютере жертвы в результаты поиска подмешиваются ссылки из конкурирующей контекстной системы, что приводит к недоумению неопытных пользователей, так как данные ссылки нерелевантны, порой ведут на деловые сайты РБК по самым причудливым запросам. Наличие таких ссылок в результатах поиска наводит на мысли у обычных пользователей о плохой работе поисковой системы «Яндекса». Не в этом ли причины плавной потери доли рынка «Яндексом»? Также у пользователей возникает несправедливое подозрение на проплаченность результатов поиска, а как известно «Яндекс» на всех углах декларирует, что результаты поиска не продаются, правда это не мешает народной молве считать Яндекс продажным.

Краткая справка:
«Интересно развитие рекламных программ (adware), реализованных в виде BHO (browser helper object). Вариант BHO.cc присутствует в двадцатке уже несколько месяцев подряд. Эта рекламная программа была обнаружена в начале июля и распространяется вместе с программой BitAccelerator. В октябре она добралась до четвертого места, в декабре опустилась на одиннадцатое, но за ней последовала аналогичная — тринадцатое место у BHO.ic».
Источник

Будьте осторожны! Если Вас вдруг стал не устраивать поиск «Яндекса», то это может быть не результатом очередного неудачного апдейта «Яндекса», а всего лишь вредоносное последствие Adware-программы.
Проверьте свои компьютеры на наличие вирусов!

(В оригинале заголовок был «Слух: Вирус заразил Яндекс». Заменен на нынешний, как не отражающий реальности — Roem.ru)

Комментарий представителя компании

  • Контекст комментария

    Алексей Басов Mail Group

    Я тоже попадаю в ядро Roem, поэтому отвечу, не дожидаясь реакции нашей пресс-службы. Мы уже некоторое время совместно с Яндексом занимаемся расследованием этой истории. Ни у нас, ни у Яндекса, как я понимаю, нет экземпляра этого вируса, поэтому пока мы не смогли выяснить детали, необходимые для установления злоумышленников. Сложность заключается в том, что вирус заменяет естественную выдачу поисковика, перенаправляя пользователя на сайт, который, по слухам, участвует в рекламной сети «Бегуна». В той же мере сайт мог поставить на себя Директ или Адсенс. Вполне возможно, речь идет о группе сайтов, являющихся участниками разных рекламных сетей, поскольку заметный прирост трафика у партнера немедленно вызвал бы интерес нашей службы анти-фрода. Если объемы ворованной аудитории незначительны, у рекламного оператора нет возможности технологическим способом выявить такого «партнера», поэтому мы ищем вирус или владельца зараженного компьютера.

Добавить 37 комментариев

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Стоит отметить, по поводу одной из ссылок выше, что [url=http://feeling-of-void.livejournal.com/196522.html]есть и другая[/url] - где человек почистил компьютер от вирусов и ему наступило счастье. РБК, как и «Бегун», транслирующий объявления, тут, скорее пострадали. А обогатился лишь товарищ вирусописатель. Завтра спрошу у «Бегуна», в курсе ли они такого использования, и как к нему относятся.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Ну слушайте, «дилеры» Яндекс.Директа, которые кардят ничего не подозревающих людей, а потом обналичивают таким образом деньги, тоже существует бог знает сколько. Вопрос в том, как относится компания к их существованию.

  • Ответить

    Между прочим, распространяется это программа в открытю на файлообменнике letitbit.net. Партнёры системы получают за каждого нового юзера несколько центов. А система зарабатывает до сотни долларов.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Ну да. Кто-нибудь (вы, например) покупает рекламу, пользователь, какой бы она нерелевантной ни была, все равно иногда кликает, переходит на сайт рекламодателя. Готово! Пользователь в недоумении, «Яндекс» в таком-же состоянии, «Бегун» привел клиенту мутного посетителя, рекламодатель заплатил деньги. Едва ли это ощутимый процент трафика составляет, конечно.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    «Слух», написано же Сейчас «Бегун» даст комментарий, у информации будет некоторая добавленная ценность. Думаю, «Яндексу» тоже интересно.

  • Ответить

    Юр, процент я думаю ощутимый. Заражено не меньше миллиона компьютеров — за полгода letitbit мог и больше привлечь. Отток пользователей небольшой, так как реклама для них незаметна. Поиском пользователь пользуется где-то 5 раз за день. CTR у такой рекламы доходит до 100%. Тут точно больше миллиона кликов в сутки генерится.

  • Ответить
    Альтер Эго

    Интересно кстати, а сколько компьютеров заразила агава? Вы же оттуда? Вот и инсайд интересный будет.

  • Ответить

    Я тоже попадаю в ядро Roem, поэтому отвечу, не дожидаясь реакции нашей пресс-службы. Мы уже некоторое время совместно с Яндексом занимаемся расследованием этой истории. Ни у нас, ни у Яндекса, как я понимаю, нет экземпляра этого вируса, поэтому пока мы не смогли выяснить детали, необходимые для установления злоумышленников. Сложность заключается в том, что вирус заменяет естественную выдачу поисковика, перенаправляя пользователя на сайт, который, по слухам, участвует в рекламной сети «Бегуна». В той же мере сайт мог поставить на себя Директ или Адсенс. Вполне возможно, речь идет о группе сайтов, являющихся участниками разных рекламных сетей, поскольку заметный прирост трафика у партнера немедленно вызвал бы интерес нашей службы анти-фрода. Если объемы ворованной аудитории незначительны, у рекламного оператора нет возможности технологическим способом выявить такого «партнера», поэтому мы ищем вирус или владельца зараженного компьютера.

  • Ответить

    А, я понял, что имел в виду Alter Ego. Нам, как хостеру, приписывают заражение сайтов наших клиентов скриптами, загружающими вирусы. Хотя взламывают на самом деле самих клиентов, хранящих пароли в открытом доступе. Интересная тема для сплетен, ага.

  • Ответить

    Точка, почему же, вполне исследованный антивирусными лабораториями, занесённый во все их базы и нещадно удаляемый антивирусами. Только судя по форумам и блогам пользователь у нас предпочитает отключать антивирусы если ему надо запустить программу, на которую они ругаются, но которая ему очень нужна.

  • Ответить
    Альтер Эго

    2 Басов «.Ни у нас, ни у Яндекса, как я понимаю, нет экземпляра этого вируса, поэтому пока мы не смогли выяснить детали, необходимые для установления злоумышленников…" Леха, так в чем проблема? Установите себе прогу с вирусом и все дела: о)

  • Ответить

    Если бы вирус был исследован, то последствия его работы уже наверное лежали бы на столе у Яндекса и Бегуна. Так же как и предложения по нейтрализации.

  • Ответить

    Radioto4ka, он исследовани антивирусными лабораториями. А зачем они будут сообщать об этом Яндексу и Бегуну? Для оповещения всех фигурантов всех вирусов придётся создать целый отдел, который никогда не будет прибыльным. Они же не благотворительный фонд по защите компаний от мошенников в конце концов…

  • Ответить
    Альтер Эго

    Просто мне инетересно поведение Агавы — агава не только хостер. Агава как раз распосранитель этих самых адварей:) ifolder.ru тоже на заметку Помнится был забавный случай — у агавы есть свой антивирус — так они всем клиентам своего антивируса воткнули адварь свою:) Может быть именно у них сейчас проблемы с фидом бегуна?

  • Ответить

    АльтерЭго, давайте всё-таки не будем сравнивать, ок? То, что есть у нас, не нарушает закон, не находится в антивирусных базах (потому что не классифицируется ими как adware), не портит пользователям выдачу и имеет возможность бесследного удаления. Потому никаких проблем с фидом бегуна у нас точно нет и не будет. Потому лично я, как руководитель проекта, родственного тематике «слуха», крайне возмущён грязной работой ребят из letitbit. Это противоречит всем правилам легального программного обеспечения, которых мы стараемся всегда придерживаться. А причём тут ifolder, кстати?

  • Ответить
    Альтер Эго

    вот ссылка с результатами сканирования файла: http://www.virustotal.com/ru/analisis/8dca96416ce7e462d4da0d1a047a836b Как видно — троян. ехешник можно скачать отсюда: http://www.antispy.ru/ А вот партнерки с этим трояном http://agava.ru/partners/ Я так понял украли вашу технологию потому вы и яритесь?

  • Ответить

    АльтерЭго, Вы бы сначала разобрались в теме, а потом делали заявления. Да, наш рекламный модуль поначалу попал во многие антивирусные базы. Просто потому, что саппорты антивирусных лабораторий не разбираются откуда ноги растут и достаточно одного запроса от пользователя, чтобы программа попала в базу. Однако, по нашей просьбе лаборатории проводят более глубокое изучение нашего модуля и исключают его из базы. Точку в его классификации поставила наиболее авторитетная антивирусная компания — «Лаборатория Касперского», переместившая модуль из категории Adware в категорию riskware, где столько честных и совсем не рекламных продуктов, что мы не обижаемся. Теперь о том, что делает наш модуль. Во-первых, при установке программы пользователю честно показывается информация, что ему ставится рекламное ПО. Во-вторых, мы не меняем содержимое страниц, не собираем приватную информацию и не крадём пароли. Мы просто демонстрируем рекламу в браузере. Всё. В-третьих, наш модуль можно в любой момент полностью удалить через стандартный раздел «Установка и удаление программ». И я даю гарантию, что он сам не возвращается, не возобновляется и не возрождается. Никогда. В отличие от всех своих собратьев. В-четвёртых, все наши продукты, поставляемые с рекламным модулем, имеют вариант покапки лицензионного ключа, при вводе которого рекламный модуль отключается. Опять-таки, навсегда. Потому технологии у нас совершенно различные. Да, тоже реклама в ПО. Да, тоже в браузере. Только мы соблюдаем все законы, в том числе и негласные. И попрошу больше не сравнивать нас с преступниками.

  • Ответить
    monakhov Embria

    not-a-virus:AdTool.Win32.TMAagent.f Это говорит Касперский кстати not-a-virus:AdWare.Win32.BHO.cc not-a-virus:Monitor.Win32.Perflogger.ca Ну и в чем разница? интересен разбор специалиста. Насколько я понимаю по классификации Касперского Рискваре — например этот монитор, который представляет из себя кейлогер. Ничего более опасного и вредного мне и представить трудно. Так же очень интересно про гласные и негласные законы:) Вообще такие разборки очень интересны и информативны — много нового и интересного узнаешь:)

  • Ответить

    not-a-virus:AdTool.Win32.­TMAagent.f — вот это наше Лаборатория Касперского проанализировала деятельность нашего модуля и пришла к выводу, что ничего вредоносного в ней нет. Но исключить его полностью из базы они не могут по политическим причинам. Потому наш модуль попал в категорию riskware (AdTool) — это все программы, которые ПОТЕНЦИАЛЬНО могу быть опасными. То есть обладают такими функциями, которые могут быть использованы во вредоносных целях, но не опасны по своей сути. Как кухонный нож — оружием он не является и предназначен для нарезки салатов, но в принципе убить им можно. Помимо всего прочего, по классификации ЛК Adware — рекламная программа, устанавливаемая на компьютер пользователя без его уведомления. Что такое Monitor по их классификации я, честно говоря, не знаю — кейлоггерами мы никогда не занимались и не собираемся. Негласные законы — не оставлять следов после удаления модуля. Не реинкарнировать его через заданный промежуток времени. Не нашпиговывать шпионскими функциями. Не идентифицировать пользователя. Удалять полностью по запросу пользователя. Предоставить возможность продлолжить использование программы-донора без просмотра рекламы путём покупки лицензионного ключа. Всё это есть у нас. И ничего из этого нет у фигуранта «слуха». Вы пытаетесь обвинить легального производителя хлопушек в производстве тротила. Очень надеюсь, что ниже я увижу извинения в нашу сторону.

  • Ответить
    monakhov Embria

    Ну я положим никого не обвинял:) Я собственно слабо разбираюсь в вашем рынке троянов, я по стартапам все больше. Ну если вы хотели поддержу интересный разговор. Но вот вы пишете — наше не находится в антивирусных базах, люди приводят пример — нет находятся. Т.е. антивирус алертит на вас. Это извините прямая неправда. На все три примера алертит ровно одинаково. Далее, вы пишете что вы рискваре, и это добрые и пушистые — судя по описаниям этого монитора который рискваре — это кейлогер. Если вы мне обьясните почему кейлогер добрый и пушистый и почему находится в лидерах по распостраненности я буду очень благодарен. Что такое монитор по их классификации видно по представленным в слухе ссылкам. Ну и собственно последнее — ваши утверждения что чегото есть у них, а нет у вас, голословны. Их собственно могут проверить только специалисты. И я куда больше верю специалистам лаборатории касперского, которые поместили все это добро в одну группе — не вирус, не троян, не спайваре. Группы прекрасно расписаны — кейлогер это просто монитор клавиатуры — больше ничего не делает плохого (другой вопрос почему распространен, и зачем вообще мониторить клавиатуру). адваре — это просто реклама, показывает рекламу, бегуна там яндекса или еще кого — не принципиально вот мне. А у вас рекламный тулс, гм. что делает непонятно, но судя по всему может показывать рекламу, а может не показывать. Это если вы попросили анализа — вот вам на вскидку анализ:) И более серьезный анализ стоит проводить не фигурантам этого дела, а антивирусным компаниям. Они не заинтересованы вас обелять или очернять. Вообще я и не знал до этого как у нас в рунете на самом деле интересно:)

  • Ответить
    Альтер Эго

    Монитор — не только кейлоггер. Наблюдает, например, за тем, на какие сайты ходит юзер, чтобы подсовывать ему релевантную рекламу. Riskware — софт, в использовании которого есть темные стороны. Remote Tools, например. Если пользователь знает, что это за софт, знает о его функциональности, но мирится — ПО может оставаться на компьютере, так как оно не угрожает целостности системы. Если программа однозначно вирусная — ее АВ-продукты стараются удалить или переместить в карантин.

  • Ответить

    Я анализа вообще-то не просил — мне хватает результатов исследований антивирусных компаний, которые не классифицируют наш модуль как вирус. То, что AVAST! видит в нём трояна — не наша проблема, а AVAST’а, так как показывает низкое качество работы их лаборатории. Я не удивлюсь, если в некоторые антивирусные базы попадёт любой другой продукт — в сообществе ISDEF (www.isdef.org) регулярно обсуждается попадание совершенно невинных программ в базы разных антивирусов — у кого кейлоггер, у кого адваре, у кого и того хуже. И все мы вздыхаем, в очередной раз пишем разработчикам этих антивирусов и те после долгих пререканий удаляют программы из базы. Или не удаляют. Или вообще не отвечают на письма. Я одного не понимаю, почему наш AdTools господин Монахов ставит в ряд с Adware и Monitor? Где Вы взяли такой ряд? Да, одни в одной антивирусной базе. Но в принципиально разных категориях. И существование нашего модуля в категории AdTools — результат независимого тестирования в Лаборатории Касперского. Для того, чтобы Антивирус Касперского сработал на наш модуль, необходимо в настройках поставить галочку «защита от Riskware». После этого Антивирус начинает визжать постоянно — это эдакий «режим параноика». По умолчанию она снята. Для детектирования AdWare галочку ставить не надо, так как это уже не Riskware, а шпионский софт, который действительно опасен. Почему с нашей точки зрения и с точки зрения ЛК это не AdWare? — мы предупреждаем пользователя об установке рекламного модуля в процессе установки программы. Причём не просто в EULA, а в первом окне инсталлятора в отдельном абзаце. — мы честно в интерфесе модуля показываем почему он установлен и предлагаем купить программу, чтобы его отключить — при введении регистрационного ключа модуль деактивируется и никак не напоминает о себе — модуль имеет собственный деинсталлятор, находящийся в списке «Установка и удаление программ» — модуль не передаёт никуда никаких приватных данных, не собирает приватную информацию. Он просто анализирует открываемые пользователем страницы и на их основе формирует запрос на рекламу для нашего сервера без привязки к конкретному пользователю. Мало того, не только ЛК проверяла наш модуль на вшивость. Мы работаем с крупнейшими рекламными брокерами России и мира только потому, что никого не обманываем. Как доказательство — посмотрите чей логотип красуется в нашем тулбаре в 30% случаев. Правда, насколько я понимаю, тулбар никто не видел — все только горазды поболтать. Скажите, Вы вот на полном серьёзе думаете, что такая крупная компания, как AGAVA будет рисковать своим реноме, да и вообще своим существованием, разрабатывая шпионский софт?

  • Ответить
    ubb

    я про этот вирус знаю с самого его появления. Кстати Бегун о нем тоже знает (возможно все, кроме Басова :)). Но вот грянул гром и зашевелились. А пол года трафик отмывался супер. Респект.

  • Ответить

    что-то я не понимаю про подмену поисковой выдачи — понимаю не понимаю, кому, кроме накручиваемого сайта (если эта махинация создана для накрутки) или кроме Бегуна (если это скликивание контекстной рекламы), может быть интересна такая картина? ведь легко палится источник и характер таких переходов как тогда на этом зарабатывает злоумышленник? З.Ы. хозяин, почини комментирование, лень по 3 раза одно и то же сабмитить