Asystent pobierania na dobreprogramy.pl...ostrzeżenie

[ktośtam]

A zasadność DDoSa... moim zdaniem dobrze. Może się nauczy, że tak się nie postępuje.

Co Ty piszesz???

[Konto usunięte]

Piszę co uważam... jedna sprawa to problem z deltą, która powinna być usunięta, a użytkownicy przeproszeni, a inne to gimusiarskie zachowanie "administratora" tweaks. Od czasu tej afery widziałem 10+ tematów na różnych forach założonych przez tę osobę. Na forum tweaks też są reklamy więc... hajs się musi zgadzać? On tego nie zrobił po to, aby informować użytkowników o zagrożeniu, ale po to, aby reklamować swoje forum i to jest bardzo dobrze widoczne w stylu wypowiedzi jakie publikuje na różnych forach (nowe, czyste konta, jeden post + reklama forum w sygnatuce).
Nie jestem fanatykiem DP, tym bardziej, że po samodzielnym sprawdzeniu delty zmieniłem zdanie co do tego czy to dobrze, źle czy neutralnie że ona się w asystencie znalazła (złe, bardzo źle). No ale to można inaczej załatwiać niż w taki sposób. Nie mówię, aby sprawę zamiatać pod dywan, bo zamiata to redakcja DP (jakiś komunikat powinien być już dawno temu), no ale taka forma reklamy własnego serwisu? Ktoś mu się odpłaca pięknym za nadobne.

[ELWIS1]

Potwierdzam, deltę na dobrych programach również widziałem dużo wcześniej. Co najmniej w czerwcu.
Myślałem, że to u nich te dodatki normalność i teraz zmienili tylko pasek. Od pewnego czasu przecież było AVG.

Po prostu ludzie nie są świadomi adware.

[Eru]

Po prostu ludzie nie są świadomi adware.

Taka prawda, mój znajomy miał po 6 różnych śmieciowych toolbarów w IE... Usuwanie tego to była katorga

[ichito]

Dla mnie wniosek jest jeden...dla nas tu na forum...nie możemy popełniać takich samych błędów jak zrobiono na DP i nie mówię tu o żadnym toolbarze czy jakimś innym cudeńku...mówię o braku otwartości wobec innych...mówię o popadaniu w rutynę...mówię o tym, że należy ludzi najpierw dobrze wysłuchać i próbować postawić się w ich sytuacji. Wielu ludzi zauważyło problem dopiero kilkadziesiąt godzin temu...jak widać wielu dotknął już dużo wcześniej, ale nie świadczy to wcale o ich nieudolności czy nieuczciwości, ale jedynie o tym, że zwyczajnie milczeli. Może czuli się przestraszeni...może zażenowani...może niepewni źródła tego dziadostwa...może nie chcieli zwracać na siebie uwagi...albo zwyczajnie nie chcieli wyjść na durnia. Bo to dotyczy głównie osób przecież mniej doświadczonych i obeznanych z takimi przekrętami, więc musimy i takie emocje wziąć pod uwagę. Może redakcja DP wprowadzała ten dodatek stopniowo i dlatego nie było szumu wokół sprawy, bo ilość problemów nie osiągnęła jeszcze ''masy krytycznej...może dopiero balon pękł, bo komuś bardziej obeznanemu się to przytrafiło i postanowił ze sobie znanych przyczyn sytuację nagłośnić i wykorzystać? Jakie by nie były przesłanki, to uważam, że dobrze się stało, że sprawa wyszła na jaw...nie ma zgody na oszukiwanie ludzi i żaden biznesplan tego nie usprawiedliwi.

[ktośtam]

Piszę co uważam...

OK. Ale DDoS jako metoda wychowawcza to słaby pomysł

[Konto usunięte]

No dobra, powiedzmy że jest... (kijem przez plecy? ;D) ale nie mówmy o metodzie wychowawczej, póki nie wiadomo kto stoi za DDoSem.
Jeżeli by się okazało że DP to... będzie wtedy druga afera, znacznie mocniejsza.

[wirusyitrojany]

Post picasso-Napisano 10-05-2013
Pozostaje pytanie - jak to ustrojstwo przez tyle czasu się uchowało ?

@lukasamd:
To powiedz mi, czemu te linki 2 posty wyżej wskazują na to, że to nie jest od 3 dni. Mi te gó**a zaczęły się instalować, kiedy pobierałem asystent pobierania w maju.

Pozdrawiam.

Może post został napisany 10-05-2013, a później edytowany i dlatego została ta sama data.

[ichito]

Wczoraj na DP opublikowałem nowy, osobny wątek w temacie - został on zaraz po tym zamknięty i ponieważ nie mam pewności, czy to co od nowa tam napisałem nie zostanie wycięte przeniosłem tekst do wątku poprzedniego. To samo zamieszczam tutaj, bo informacje wydają się być intrygujące i mogą świadczyć o jeszcze bardziej zabagnionej sprawie.
Poniżej link do zamkniętego wątku

[Aby zobaczyć linki, zarejestruj się tutaj]

-----------------------------------------------------------------------------------------------------------------------------------------------
Ponieważ mój wątek - cytowany wyżej przez Unitraxa - został zamknięty po 7 minutach z adnotacją moderatora

Jeden temat wystarczy. Tam kontynuuj.
Zamykam.

traktuję to jako próbę zamknięci mi twarzy w temacie, więc pozwalam sobie na przytoczenie go w całości, gdzie wg wskazówek jest na to właściwe miejsce. Chciałem przenieść dyskusję w inne miejsce i odejść od niepotrzebnych emocji, a skupić się bardziej na merytorycznej stronie problemu. Zdecydowano inaczej - szkoda.
@GBM
Nie muszę robić żadnych analiz tego ustrojstwa, bo ci którzy to opisują zrobili to za mnie i ja ich po prostu cytuję...za takie dziadostwo bojkotuje się Cnet i Softnic, o czym już pisałem. Nie mam zamiaru się powtarzać. Nie muszę być analitykiem finansowym czy specjalistą od telekomunikacji, żeby o banku czy dostawcy usług telefonicznych powiedzieć "oszust", kiedy przemyca do rachunków ukryte i niewymienione w umowach opłaty. Takie banki, telefonie komórkowe, telewizje cyfrowe stawia się pod pręgierz opinii publicznej i nie zostawia na ich reputacji suchej nitki.

Post przez ichito » 06.07.2013 (So) 23:49
OK...wracamy do konkretów, choć pewnie niektórym to nie na rękę...nie przemawiają ludzkie odruchy, to może ponownie przytoczmy fakty. Docent niedawno zapowiedział zmiany na lepsze, więc postanowiłem sprawdzić, jak się ma to w rzeczywistości. Biorę na Cel instalkę AutoRuns - celowo, bo oryginalnie jest tylko spakowany folder z 4 plikami programu, który jako archiwum waży 537 KB ...klikam zielone "Pobierz" i pobieram sobie asystenta, który waży 700 KB . OK, niech będzie...uruchomienie instalatora powoduje wyświetlenie ciekawego komunikatu - wychodzi na to, że wydawcą AutoRuns są Dobre Programy...naprawdę?...przerywam instalację i sprawdzam właściwości instalatora...no jak byk stoi w zakładce „Podpisy cyfrowe” w kolumnie „nazwisko osoby podpisującej”, że to DP. No i tu zdziwienie, bo AutoRuns nie zmienił chyba właściciela i wydawcy…dawniej było to Sysinternals i Mark Russonovich, teraz Microsoft…kupiliście program od nich? No bo nie ma nigdzie, że chodzi o asystenta tylko o konkretny pobierany program

[Aby zobaczyć linki, zarejestruj się tutaj]

No dobra, jedziemy dalej z instalacją…wybieram domyślną, bo ta jest odznaczona jako sugerowana…ściągam plik i tu następny zgrzyt…tuż po zakończeniu pobierania na liście procesów pojawiają się dwa procesy związane z programem o nazwie Browser Defender,którego wydawcą jest PerformerSoft, a same pliki fizycznie zlokalizowane są w folderach tymczasowych w lokalizacji czyli nawet nie tam, gdzie można się standardowo spodziewać programu (Program Files) - ścieżka dostępu
C:\Documents and Settings\All Users\Dane aplikacji\BrowserDefender\

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

I teraz pytanie: kto z Was – redakcji portalu – o tym ostrzega?...kto mówi ludziom, że dostają w prezencie malware, bo tak traktowany jest BrowserDefender? Nie wierzycie, że to niepożądany program?...proszę

[Aby zobaczyć linki, zarejestruj się tutaj]

a wydawca jeszcze „lepszy”

Who is PerformerSoft LLC?
PerformerSoft products bundle one or more of the following potentially unwanted software programs including Babylon Toolbar from Firefox, Chrome and Internet Explorer browsers, Searchcore Toolbar, DealFinder add-on, PriceGong, Findamo, and many others. PerformerSoft''s primary consumer product lineup includes those marketed as PC optimization and performance tools. The parent company / sibling company of PerformerSoft is primarily an Internet marketing firm designed to distribute PerformerSoft products as well as its bundled software tools including the Bit89 Browser Manager line of classified by many ad adware and potentially unwanted software.

[Aby zobaczyć linki, zarejestruj się tutaj]

Dobrze…zainstalowałem program, oczywiście nastąpiła podmiana mechanizmów wyszukiwania - wciąż jest Delta Serachi jest silnikiem domyślnym, a Internet Explorer wzbogacił się o nowy pasek kuszący intrygującymi komunikatami, że mam jakiś 6 nieodebranych wiadomości (?). Czysta socjotechnika, bo niby skąd mam mieć te wiadomości, skoro IE nie ma danych moich skrzynek?...Ale ciekawość zwyciężą i po wciśnięciu klawisza o nieodebranych wiadomościach zostaję przekierowany na stronę „darmowej” ankiety, a po jej wypełnieniu otrzymuję propozycję nagrody, a rzeczywistości „niedarmowych” usług. Podobnie ma się sytuacja z wielce obiecującym komunikatem z interesującą informacją, że zostałem wybrany, by wypełnić kolejną ankietę i zdobyć następne nagrody…efekt podobny z tym, że dostawca płatnych usług inny i nieco inna cena.
Przyszedł czas na konkrety, więc zaglądam w ustawienia IE i patrzę, co mi się ciekawego dostało w prezencie…i kiedy przeczytałem Montera Technologiescoś mnie tknęło, bo nazwa jakoś niezbyt dobrze mi się skojarzyła z przeczytanymi gdzieś kiedyś informacjami.

[Aby zobaczyć linki, zarejestruj się tutaj]

Sprawdzam kto zacz…no i mamy! Jeden z cytatów opisujących firmę jest wiele mówiący (pisownia oryginalna)

they created and force the virus MY START and INCREDIBAR.COM. I hate them I WANT ALL HACKERS TO BRING THEIR SITE DOWN.

[Aby zobaczyć linki, zarejestruj się tutaj]

No i właśnie ten My Startmnie zaintrygował…proszę co to gadżet

Mystart.incredibar.com (Mystart Incredibar) hijack malware makes simple things really complicated. If it gets on your PC, surfing the web turns into a painful experience. This post is going to give you the basic facts to know about this sample of vicious browser divert badware. The fraudulent intent behind Mystart Incredibar adware is to get income – actually, that’s always what such campaigns are about. How is this virus related to someone making money? Well, the connection is direct and quite obvious: scammers infect thousands of machines worldwide with trojan or rootkit that causes the redirects to happen, which means a large number of people visit Mystart.incredibar.com without really wanting to.

[Aby zobaczyć linki, zarejestruj się tutaj]

A sama firma Montera ma dość intrygujący, bo niezwykle obszerny wykaz innych podobnych dodatków i określana jest dość wyraźnie (podkreślenie moje)

Montera is a toolbar company that provides toolbar services for ZoneAlarm, Funmoods, Softonic, Calrioand many other companys, many of wich are considered potentially unwanted software programs. Claro LTD toolbar is regarded as an adware similar to Spyware.SCN-ToolBar . It is bundled with freeware. Unaffectedly, Claro LTD toolbar is applied by users unknowingly while installing the desired software.

[Aby zobaczyć linki, zarejestruj się tutaj]

I na koniec całego ciągu koneksji dochodzimy do ciekawostki czyli Claro Toolbar,o który tak zaciekle walczył Pangrys…bo jak widać Claro też tej samej proweniencji jest

Claro LTD Toolbar (also known simply as the Claro Toolbar) is a PUP or adware add-on for your browser that’s often installed with unrelated applications. Although the Claro LTD Toolbar may offer web accessibility and social networking features that are positive, its resistance to normal uninstall methods, casual changes to your browser settings and habitual attachment to popular sites like Facebook and Youtube may also make Claro LTD Toolbar a nuisance worth removing with a trustworthy anti-malware scanner.
(…)
The Claro LTD Toolbar claims to be a beneficial assistant for online social networking and web-searching activities, although, in practice, Claro LTD Toolbar’s real features amount to nothing more than unnecessary adware and browser hijacker-based attacks. Malware experts also deem it worth mentioning that the Claro LTD Toolbar is unaffiliated with the United Kingdom-based engineering company of the same name, although Claro LTD Toolbar may use the Claro brand name as part of its strategy for promoting itself as reputable software.

[Aby zobaczyć linki, zarejestruj się tutaj]

No to teraz pytania do szefostwa portalu DP…czy to co tu napisałem jest prawdziwe?...czy to faktycznie Wasz partner biznesowy?...bo jeśli tak, to pytam po co Wam taki partner? Czy świadomi byliście, jak podejrzanej reputacji jest to firma albo czy może ktoś Wam wcisnął taki kontrakt? A pomijając Wasze interesy…czy naprawdę widzicie w tym interes użytkowników?
---------------------------------------------------------------------------------------------------------------------------
Tu koniec wpisu z DP

edit:
zmieniłem tytuł też...z powodu polityki portalu nie mam zamiaru ukrywać pod skrótem pełnej jego nazwy

[Konto usunięte]

No właśnie jak testowałem u siebie na virtualboxie to zdziwiło mnie, że Hitman wykrywał elementy Babylon.
Nawet jeżeli założymy, że godzimy się na deltę, że nie uważamy jej za zło całkowite itd. to przy instalacji nie ma informacji o tym, że wrzucane są inne moduły, a w takim wypadku już nie ma tłumaczenia, że chcemy dobrze czy coś. Wrzucane jest coś, o czym nie wiemy i na co nie wyrażamy żadnej zgody.

[polak900]

Dobrze żenie mam z tym problemów
Poza tym DP to denna strona

[jrambo]

@ichito do swojejsygnaturki musisz zatem dopisać : Browser Defender . To oczywiście żart, bo cała sytuacja to coraz większe bagno, a do tych HotZlotowych dupolizów to po prostu brak sił, redakcja udaje że nie wie o co chodzi, można się produkować ale to tylko rzucanie grochem o ścianę. Jak widać nie dauszczęśliwiać kogoś na siłę - im widocznie nie zależy, na reputacji, na userach,na opinii i kij im za to w oko.

[ichito]

@Polak
ja też nie mam z tym problemów, ale wydaje mi się, że naszą rolą tutaj jest informowanie i uświadamianie ludzi, którzy z tym mają mniej lub wcale wspólnego.

@ichito do swojejsygnaturki musisz zatem dopisać : Browser Defender .

Nie no...bez żartów...testowałem to ustrojstwo na wirtualnym systemie w końcu

[polak900]

Oczywiście od tego jest ta strona

[ELWIS1]

Jak to mówią: ,, Kasa misiu, kasa''''

Za każdą instalację takiego dodatku dobreprogramy mają zapewne kilka centów. Ok, to wydaje się mało, ale jeśli np. instalacji jest w ciągu miesiąca 200.000 to daje sumę

Dobrze chociaż, że napisali małym druczkiem przy programach:

Instalacja przebiega z użyciem asystenta pobierania plików,
który może proponować również oferty sponsorowane.
Jeśli chcesz, możesz też skorzystać z linków bezpośrednich

[ichito]

Postanowiłem sprawdzić, jaka jest reputacja uruchamianych po cichu procesów Browser Defendera - skanowanie procesu "C:\Documents and Settings\All Users\Dane aplikacji\ BrowserDefender \2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\ BrowserDefender.exe "
daje wynik 7/47naVT ...każdy może sprawdzić tu.

[Aby zobaczyć linki, zarejestruj się tutaj]

W jednym z postów w wątku na DP padło słowo Babylon ...i bardzo dobrze, bo on też pojawia się w grze. Jego elementy znaleźć można w folderach
C:\Program Files\Delta\delta\1.8.21.5\GUninstaller.exe
C:\Documents and Settings\użytkownik\Dane aplikacji\Babylon
C:\Documents and Settings\użytkownik\Dane aplikacji\BabSolution\Shared
Plik Guinstaller jest plikiem sygnowanym przez Babylon

[Aby zobaczyć linki, zarejestruj się tutaj]

Odnośnie połączeń Browser Defender to program łączy się z siecią i jak wynika z ciągu zapisu kolejne operacje wiążą ze sobą plik instalacyjny AutoRuns pobrany na portalu DP, Browser Defender, Delta i Babylon- fragment logu z System Explorer

Nowy TCP/IP localhost:9876 (127.0.0.1) PID=1196 "Setup.exe"
Del TCP/IP localhost:9876 (127.0.0.1) PID=1196 "Setup.exe"
Nowy UDP PID=1196 "Setup.exe"
Del TCP/IP ec2-54-244-230-64.us-west-2.compute.amazonaws.com:0 (54.244.230.64) PID=3844 "AutoRuns(13208).exe"
Nowy TCP/IP ba-sh-us-dc3-005.babylon.com:0 (198.143.175.67) PID=1196 "Setup.exe"
Nowy TCP/IP DedLoadLM2200.babylon.com:0 (184.154.27.232) PID=1196 "Setup.exe"
(...)
Nowy TCP/IP 50.22.175.70-static.reverse.softlayer.com:0 (50.22.175.70) PID=3456 "bprotect.exe"
Nowy PID=3480 PPID=3844"C:\DOCUME~1\pl0205\USTAWI~1\Temp\is1890775716\uninstaller.exe" /Install /AN="DobreProgramy.pl" /NM="AutoRuns Packages"Plik nadrzędny="D:\Downloads\AutoRuns(13208).exe"
Skasuj PID=1196 PPID=772 Nazwa pliku="Setup.exe" Kod wyjścia=0 Czas procesora=00:00:02
Skasuj PID=772 PPID=3836 Nazwa pliku="Setup.exe" Kod wyjścia=0 Czas procesora=00:00:01
Skasuj PID=3836 PPID=3844 Nazwa pliku="DeltaTB.exe" Kod wyjścia=0 Czas procesora=00:00:00
Del TCP/IP DedLoadLM2200.babylon.com:0 (184.154.27.232) PID=1196 "Setup.exe"
Del UDP PID=1196 "Setup.exe"
Del TCP/IP DedLoadLM2200.babylon.com:0 (184.154.27.232) PID=772 "Setup.exe"
Nowy TCP/IP ec2-54-225-138-110.compute-1.amazonaws.com:0 (54.225.138.110) PID=1940 "BrowserDefender.exe"
Nowy TCP/IP 50.22.175.70-static.reverse.softlayer.com:0 (50.22.175.70) PID=1940 "BrowserDefender.exe"

Poniżej screen z listy nawiązywanych połączeń podczas pobierania pliku za pomocą asystenta

[Aby zobaczyć linki, zarejestruj się tutaj]

Wszyscy, którzy korzystać zechcą z pobierania na DePe nie popatrzą na screen z asystenta i zwrócą uwagę, jakie portal oferuje możliwości. Górna i zaznaczona domyślnie opcja daje instalację programu, który chcemy i dodatku Delta, dolna - zaawansowana - daje przeciętnemu użytkownikowi informację, że tam ma wybór opcji wobec Delty... ani słowa nie ma, że w ten sposób również może pożądany program zainstalować - to jest właśnie manipulacja i nakierowanie ludzi do podejmowania niekorzystnych dla nich decyzji, akorzystnych dla oferującego program. Korzystajcie tylko z tej dolnej "zaawansowanej"!

[Aby zobaczyć linki, zarejestruj się tutaj]

[slav]

Ludki tak już jest na tej stronie od wielu miesięy

[ELWIS1]

Najlepsze jest to, że na forum DB ktoś napisał, że to DB są ofiarą hehehe.

[unitrax]

Macie główną wykopu, ciekawe czy niebawem stanie się to samo co z tamtym forum.
To serio bardzo podejrzane, że odkąd dostało się na główną wykopu, forum niedostępne.
A wracając do sytuacji- przeglądając temat na forum dobreprogramy rzuciło się we mnie podejście moderacji, która chyba zapomniała że to użytkownicy tworzą portale a nie zarząd i administracja- nie takie kolosy już padały w wyniku odwrócenia się użytkowników.

[none]

Jeśli komuś che się analizować dokładnie to tutaj jest lista zmienionych i dodanych plików oraz wpisów w rejestrze:


Dodawane wpisy w rejestrze:

[Aby zobaczyć linki, zarejestruj się tutaj]

Widok ze zemianami (tj da sie odróżnić aktualizacje wpisu od dodania):

[Aby zobaczyć linki, zarejestruj się tutaj]

Rejestr:

[Aby zobaczyć linki, zarejestruj się tutaj]

Dodane pliki:
widok listy:

[Aby zobaczyć linki, zarejestruj się tutaj]

inny widok:

[Aby zobaczyć linki, zarejestruj się tutaj]

Pliki (po prawej dodane, po lewej nadpisane, jesli lewa pusta to plik dodany)

[Aby zobaczyć linki, zarejestruj się tutaj]

\safebrowsing\goog-malware-shavar.pset

[Aby zobaczyć linki, zarejestruj się tutaj]