16.01.2015, 11:32
Ostatnie aktualizacje w artykule na Fixitpc.pl o niechcianych dodatkach w procesie instalacji,
Warto się tym sztuczkom przyjrzeć, ponieważ są żywcem zapożyczone od autorów szkodników i wykorzystują techniki przez nich stosowane w celu oszukania użytkownika, nawet tego zaawansowanego, który stosuje bardziej wyrafinowane metody do testowania nieznanego/podejrzanego softu.
Środowisko wirtualne-rzeczywisty system
W tym przypadku za przykład podano instalator online Adobe Flash Player (pobiera potrzebne dane z sieci w trakcie instalacji). Instalator ten w zależności od tego, czy został uruchomiony w rzeczywistym systemie, czy na maszynie wirtualnej działa inaczej i w efekcie efekt instalacji jest inny - w środowisku wirtualnym (tu VirtualBox) mamy czystą instalację, natomiast na systemie rzeczywistym otrzymujemy "oferty" zainstalowania PNP (Potencjalnie Niechciane Oprogramowanie z angielska PUP).
![[Obrazek: schema.png]](https://blog.malwarebytes.org/wp-content/uploads/2014/12/schema.png)
Analiza kodu instalatora wskazuje na jego fragment, który implikuje odpowiednie zachowanie.
![[Obrazek: ascii.png]](https://blog.malwarebytes.org/wp-content/uploads/2014/12/ascii.png)
Czemu taki trik ma służyć?...wydaje się, że odpowiedź jest następująca
- środowiska wirtualnego do testowania używają raczej zaawansowani użytkownicy i to ich twórca programu chce w ten sposób przekonać, że program jest czysty, a więc i zaufany
- ponadto ci użytkownicy właśnie często programy opisują i opiniują, dając w takich przypadkach zupełnie nieświadomie świadectwo dobrej jakości dla programu i poczucie bezpieczeństwa dla potencjalnego użytkownika.
Podpis cyfrowy
![[Obrazek: detailscertificate.png]](https://blog.malwarebytes.org/wp-content/uploads/2014/12/detailscertificate.png)
Przykładowy instalator został podpisany cyfrowo przez Fried Cookie Ltd., ale certyfikat mimo że zaufany jest nadużywany do podwyższenia wiarygodności programu. Certyfikat wskazuje na dostawcę z Izraela (Tel Awiw) i powiązanie z firmą Fried Cookie i ich dodatkiem do instalatorów installCore, którego zadaniem są m.in wyraźne finansowe funkcje i profity oraz analityczne i reklamiarskie.
Oferta "nie do odrzucenia"
Podczas instalacji na realnym systemie, o której było już wyżej, pojawia się kolejna technika wymuszania zachowań na użytkowniku czyli coś w stylu "oferty nie do odrzucenia". Rzeczywiście...okno takiej oferty nie pozostawia żadnego wyboru i jedyne co możemy to podążać za instalacją i ofertę zaakceptować lub przerwać instalację, żeby ofertę odrzucić, ale równocześnie zrezygnować z programu.
![[Obrazek: 1.png]](https://blog.malwarebytes.org/wp-content/uploads/2014/12/1.png)
Ta obligacyjna oferta daje nam w efekcie zainstalowanie przeglądarki internetowej Vosteran Browser (klon Chrome), jak się okazuje dość znienawidzonej, bo najczęstszym w niej hasłem wyszukiwania jest "jak pozbyć się Vosteran"
Ponadto użytkownik otrzymuje inną "ofertę" tego typu a związaną z firma Entarion Ltd. zlokalizowaną oficjalnie na Cyprze, a w rzeczywistości - jak prowadzą ślady w sieci -w Rosji (St Petersburg), czego efektem sąfałszywe programy do optymalizacji rejestru.
![[Obrazek: cyprus.png?w=564]](https://blog.malwarebytes.org/wp-content/uploads/2014/12/cyprus.png?w=564)
Oczywiście informacje powyższe nie wskazują na to, że podobne rezultaty to norma i że każdy instalator wykazuje takie odmienne zachowania czy poprzestawia podobne oferty...na pewno jednak ze względu na coraz większą powszechność takich technik, trzeba zachować spory dystans do oprogramowania zwłaszcza tego mniej znanego...choć jak widać to znane i masowo używane ma sporo "za uszami".
Całość opracowania
Na koniec - podziękowania dla Picasso
[Aby zobaczyć linki, zarejestruj się tutaj]
na naszym forum wskazują na bardzo ciekawą informację na temat niezwykłego triku stosowanego przez producentów niektórych programów.Warto się tym sztuczkom przyjrzeć, ponieważ są żywcem zapożyczone od autorów szkodników i wykorzystują techniki przez nich stosowane w celu oszukania użytkownika, nawet tego zaawansowanego, który stosuje bardziej wyrafinowane metody do testowania nieznanego/podejrzanego softu.
Środowisko wirtualne-rzeczywisty system
W tym przypadku za przykład podano instalator online Adobe Flash Player (pobiera potrzebne dane z sieci w trakcie instalacji). Instalator ten w zależności od tego, czy został uruchomiony w rzeczywistym systemie, czy na maszynie wirtualnej działa inaczej i w efekcie efekt instalacji jest inny - w środowisku wirtualnym (tu VirtualBox) mamy czystą instalację, natomiast na systemie rzeczywistym otrzymujemy "oferty" zainstalowania PNP (Potencjalnie Niechciane Oprogramowanie z angielska PUP).
Analiza kodu instalatora wskazuje na jego fragment, który implikuje odpowiednie zachowanie.
Czemu taki trik ma służyć?...wydaje się, że odpowiedź jest następująca
- środowiska wirtualnego do testowania używają raczej zaawansowani użytkownicy i to ich twórca programu chce w ten sposób przekonać, że program jest czysty, a więc i zaufany
- ponadto ci użytkownicy właśnie często programy opisują i opiniują, dając w takich przypadkach zupełnie nieświadomie świadectwo dobrej jakości dla programu i poczucie bezpieczeństwa dla potencjalnego użytkownika.
Podpis cyfrowy
Przykładowy instalator został podpisany cyfrowo przez Fried Cookie Ltd., ale certyfikat mimo że zaufany jest nadużywany do podwyższenia wiarygodności programu. Certyfikat wskazuje na dostawcę z Izraela (Tel Awiw) i powiązanie z firmą Fried Cookie i ich dodatkiem do instalatorów installCore, którego zadaniem są m.in wyraźne finansowe funkcje i profity oraz analityczne i reklamiarskie.
Cytat:Since we offer our software for free, we partner with installCore’s PPI program to monetize our downloads. They provide a high quality, high eCPM program that creates a steady revenue stream from our software.
installCore is not the only installer that offers PPI on the market, but they are the most effective. Every software product that makes offers during our download has been chosen carefully by installCore’s Super Targeting system. This targeting technology is sophisticated and powerful enough to match users with software they are more likely to download.
installCore’s Super Targeting is also swift enough to adapt mid-installation to maximize the chance of additional downloads. installCore’s unique Flow Automator can sift through segmentation profiles and arrange the download offers to serve the most relevant software at just the right time.
[Aby zobaczyć linki, zarejestruj się tutaj]
Oferta "nie do odrzucenia"
Podczas instalacji na realnym systemie, o której było już wyżej, pojawia się kolejna technika wymuszania zachowań na użytkowniku czyli coś w stylu "oferty nie do odrzucenia". Rzeczywiście...okno takiej oferty nie pozostawia żadnego wyboru i jedyne co możemy to podążać za instalacją i ofertę zaakceptować lub przerwać instalację, żeby ofertę odrzucić, ale równocześnie zrezygnować z programu.
Ta obligacyjna oferta daje nam w efekcie zainstalowanie przeglądarki internetowej Vosteran Browser (klon Chrome), jak się okazuje dość znienawidzonej, bo najczęstszym w niej hasłem wyszukiwania jest "jak pozbyć się Vosteran"
Ponadto użytkownik otrzymuje inną "ofertę" tego typu a związaną z firma Entarion Ltd. zlokalizowaną oficjalnie na Cyprze, a w rzeczywistości - jak prowadzą ślady w sieci -w Rosji (St Petersburg), czego efektem sąfałszywe programy do optymalizacji rejestru.
Oczywiście informacje powyższe nie wskazują na to, że podobne rezultaty to norma i że każdy instalator wykazuje takie odmienne zachowania czy poprzestawia podobne oferty...na pewno jednak ze względu na coraz większą powszechność takich technik, trzeba zachować spory dystans do oprogramowania zwłaszcza tego mniej znanego...choć jak widać to znane i masowo używane ma sporo "za uszami".
Całość opracowania
[Aby zobaczyć linki, zarejestruj się tutaj]
Na koniec - podziękowania dla Picasso
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
