Официальное разъяснение ситуации с занесением торрент-клиента MediaGet в базы Dr.Web

[K_Mikhail 807]

Официальное разъяснение ситуации с занесением торрент-клиента MediaGet в базы Dr.Web

10 февраля 2012 года

Компания «Доктор Веб» разъясняет ситуацию с включением торрент-клиента MediaGet в список потенциально опасных приложений, которое произошло в сентябре 2011 года. На данный момент антивирусные продукты Dr.Web блокируют посещение сайта разработчиков программы и ряда других ресурсов, размещающих ссылки на ее скачивание, — все они добавлены в базы Dr.Web с резолюцией «Нерекомендуемый сайт».

После тщательного анализа схемы распространения торрент-клиента MediaGet специалисты компании «Доктор Веб» приняли решение занести его в базы Dr.Web под именем Program.MediaGet. Очевидно, что метод, используемый для повышения числа установок программы на пользовательских компьютерах, является недобросовестным.

Для распространения программы ее разработчиками была создана так называемая «партнерская программа», в рамках которой всем желающим предлагалось за определенное вознаграждение принять участие в «популяризации» торрент-клиента. Отметим, что несколько дней назад страница с описанием программы была оперативно удалена владельцами сайта MediaGet, однако сохранилась в кэше поисковой системы Google.

В рамках этой программы владельцы ряда интернет-ресурсов, распространяющих разнообразный медиа-контент, в числе прочего используют на своих площадках специальные ссылки вида:

_http://mediaget.com/torrent.php?r=<адрес интернет-ресурса>&s=<имя>+<фильма>.

Подобные ссылки, соответственно, размещаются на страницах с описаниями фильмов и крепятся к кнопкам с текстом «Скачать бесплатно <название фильма> с помощью MediaGet» (текст может варьироваться от ресурса к ресурсу). При нажатии на кнопку на компьютер пользователя загружается установочный файл торрент-клиента, при этом имя файла полностью совпадает с названием фильма. По этой причине пользователь с большой долей вероятности запустит данный файл, в результате чего произойдет установка торрент-клиента. В процессе инсталляции пользователю предлагается дополнительно установить тулбар одного популярного интернет-портала: тут важно подчеркнуть, что тулбар устанавливается даже в том случае, когда пользователь отказался от него.

После автоматического запуска программа осуществляет поиск файла для скачивания, однако совершенно не факт, что данный фильм есть в раздаче — в этом случае поиск не приводит к каким-либо результатам, и пользователь не получает того, что искал. При этом цель распространителей MediaGet достигнута: торрент-клиент уже установлен на его компьютере.

Такая схема распространения программного обеспечения признается компанией «Доктор Веб» как потенциально опасная, так как вводят пользователей в заблуждение и предусматривают установку ПО на компьютер без их принципиального согласия. В случае если разработчики MediaGet перейдут к прозрачным и добросовестным методам продвижения, решение о включении торрент-клиента в базы Dr.Web может быть пересмотрено.

Адреса размещающих подобные ссылки ресурсов оперативно заносятся в базы Dr.Web в качестве не рекомендуемых для посещения. Компания «Доктор Веб» призывает своих пользователей проявлять бдительность во время посещения интернет-сайтов и соблюдать соответствующие меры предосторожности.

Источник

[ALEX(XX) 60]

А что, всё правильно. Кстати эта программулина, не знаю почему, на двух машинах, что встречались, вешала работу с http. Выключаешь - можно сёрфить, запускаешь - глохнет. Особо не разбирался и снёс

[K_Mikhail 807]

Навскидку: https://www.virustotal.com/file/696e8f38081...b0b19/analysis/

NOD32 их тоже детектит. На отсутствие детекта по Dr.Web не следует обращать внимание - на Тотале в настройках сканера Dr.Web, похоже, отключено детектирование потенциально опасных программ (Program.*).

[ALEX(XX) 60]

Навскидку: https://www.virustotal.com/file/696e8f38081...b0b19/analysis/

NOD32 их тоже детектит. На отсутствие детекта по Dr.Web не следует обращать внимание - на Тотале в настройках сканера Dr.Web, похоже, отключено детектирование потенциально опасных программ (Program.*).

Ага, ясно. Спасибо за информацию.

[Danilka 678]

http://forum.kaspersky.com/index.php?showt...227007&st=0

Продукты ЛК детектят при условии, что установлена галочка "Другие".

Но тем временем: http://trusted.kaspersky.com/c406bfeff6640...7a/MGET348/info Как бы подтверждает, программа безвредна, но все равно детект есть (включается ручками), так как не особо хорошее поведение.

[K_Mikhail 807]

http://forum.kaspersky.com/index.php?showt...227007&st=0

Продукты ЛК детектят при условии, что установлена галочка "Другие".

Но тем временем: http://trusted.kaspersky.com/c406bfeff6640...7a/MGET348/info Как бы подтверждает, программа безвредна, но все равно детект есть (включается ручками), так как не особо хорошее поведение.

Бардак или by design?

[Danilka 678]

Бардак или by design?

По задумке все ок. Программа безвредна? Безвредна. Отсюда пометка наша. То, что она распространяется не совсем честно - да, не честно, за это и детектится (для тех кому нужны эти детекты). Все логично. Так можно и с рискварами и т.п. Хотя лично по мне - для обычного юзера все это будет нифига не понятно.

[Umnik 997]

MD5*: C406BFEFF66408B65DC8BD3E46696B7A

Однако

[K_Mikhail 807]

По задумке все ок. Программа безвредна? Безвредна. Отсюда пометка наша. То, что она распространяется не совсем честно - да, не честно, за это и детектится (для тех кому нужны эти детекты). Все логично. Так можно и с рискварами и т.п. Хотя лично по мне - для обычного юзера все это будет нифига не понятно.

Моё мнение -- если программа в чём-то лукава, то ей не место в вайт-листе. Сейчас же создаётся больше путаницы.

[Umnik 997]

На сколько я вижу, в вайтлисте указан конкретный md5...

[Mr. Justice 771]

Вот это удивляет:

тулбар устанавливается даже в том случае, когда пользователь отказался от него

То есть программа явно совершает действия, несанкционированные пользователем, а значит является вредоносной.

Если это действительно так, то детектирование этой программы, по умолчанию, можно признать верным и обоснованным.

[Dmitriy K 603]

В процессе инсталляции пользователю предлагается дополнительно установить тулбар одного популярного интернет-портала: тут важно подчеркнуть, что тулбар устанавливается даже в том случае, когда пользователь отказался от него.

Babylon? Mail? SweetIM? Без моего согласия не установились.

[~Джон Доу~ 45]

По задумке все ок. Программа безвредна? Безвредна.

...для обычного юзера все это будет нифига не понятно.

Для обычного юзера Dr.WEB все это будет понятно:

[Danilka 678]

Для обычного юзера Dr.WEB все это будет понятно:

Это вообще к чему? Доброе утро..

[~Джон Доу~ 45]

«Доктор Веб» приняли решение занести его в базы Dr.Web

Это вообще к чему? Доброе утро..

Это вообще к тому:

http://best-dem.ru/doktor-skazal-v-morg-znachit-v-morg.html

Покойной ночи...

[~Джон Доу~ 45]

Anubis

Analysis Report for http://download.media-get.com/download_mg.php?

Description Risk

Performs File Modification and Destruction: The executable modifies and destructs files which are not temporary.

Changes security settings of Internet Explorer: This system alteration could seriously affect safety surfing the World Wide Web.

Performs Registry Activities: The executable creates and/or modifies registry entries.

etc.

[SySOPik 52]

Нормальная ситуация. Замудрили с установкой. С тулбарами отдельная ситуация, вообще походу расстреливать нужно за скрытые установки тулбаров и изменения поиска.

[AlexxSun 150]

С тулбарами отдельная ситуация, вообще походу расстреливать нужно за скрытые установки тулбаров и изменения поиска.

Тогда много кого придётся расстрелять, к примеру - Mail.ru Group за их клиента ICQ , при установке этого клиента само окно инсталлятора сделано очень хитро, невнимательный пользователь обязательно отхватит себе этот косяк, если только во время установки не переставит галку на позицию вниз и не сдвинет прокруткой до самого упора, чтобы прочитать внизу ещё три очень "полезных" для него пункта:

1) Установить поиск от указанной компании поиском по-умолчанию

2) Сделать Mail.ru домашней страницей

3) Установить дополнительно всякую ненужную пользователю фигню, которая его вроде бы будет защищать от всевозможных бед.

Вот только Mail.ru Group никто за эти "милые" шалости не блокирует и не вносит в черные списки

P.S. Клиент ICQ скачан был мной только что, самый свежайший, цифровая подпись от 26 июня 2012 года, так что косячок до сих пор актуален, в своё время за такие проделки создателей программы QIP хотели тоже расстрелять, но они вроде бы потом что-то поменяли в своём установщике ))

[Сергей Ильин 1538]

Замудрили с установкой. С тулбарами отдельная ситуация, вообще походу расстреливать нужно за скрытые установки тулбаров и изменения поиска.

Не все так однозначно. Я общался с разработчиками MediaGet на эту тему. Скрытой установки тулбара у них не было. По крайней мере такую сборку найти не удалось, об этом написал только Доктор. Возможно, они сделали это так сказать "до кучи". Более того, была описана проблема, что снимаешь галочку установки тулбара, а он все равно устанавливается. Это совсем другое, согласитесь, чем "скрытая установка".

С установкой MediaGet тоже ав-компании ИМХО слишком жестко стали трактовать, не разобравшись в вопросе. Да, используется партнерка, которая на торрент-сайтах ставит альтернативную ссылку на загрузку, где грузится не файл .torrent, а файл exe с тем же именем. По задумке разработчиков это сделано в расчете на удобство братьев наших меньших, которые что такое торренты, клиенты, ссылки, раздачи и тп не знают и не хотят знать. Они качают exe и он все делает сразу сам. Удобно для многих.

P.S. Я не оправдываю MediaGet, просто не стоит сразу вот так зарубать проекты потому, что они не попадают в некоторый привычный шаблон.

[SySOPik 52]

Вот только Mail.ru Group никто за эти "милые" шалости не блокирует и не вносит в черные списки

Их расстрелять первыми за кучу гадости в виде домашних страниц, тутбаров, гуард агентов .спутников и прочего барахла. Вот что-что бы я купил, это антивир ,блокирующий в принципе установку всего барахла (домашние страницы, тулбары, агенты, поисковики, ненужный софт) предлагаемого или скрыто устанавливаемого.

[Сергей Ильин 1538]

В продолжение истории мы решили опубликовать результаты экспертизы торрент-клиента MediaGet на вредоносность и принадлежность к классу нежелательного ПО

http://www.anti-malware.ru/Threats_Analysi...diaget_analysis

На настоящий момент разработчики устранили все сомнительные "фичи" и ИМХО сейчас нет никаких причин для детектирования этой программы. Если только из-за упрямства из принципа.

[amid525 67]

Взять вот MediaGet, по его поводу было проведено АМ особое исследование:

http://www.anti-malware.ru/Threats_Analysi...diaget_analysis

Поведение было признано нормальным, клиент невредоносным.

Вот еще одно исследование MediaGet, мнение инное.. )

https://lurkmore.to/Участник:P2p/MediaGet

Кому верить?

[alamor 69]

Официальное разъяснение ситуации с занесением торрент-клиента MediaGet в базы Dr.Web

[amid525 67]

Официальное разъяснение ситуации с занесением торрент-клиента MediaGet в базы Dr.Web

Уже, не актуально, сняли с баз.. )

https://www.virustotal.com/ru/file/ea90d06c...7f05c/analysis/

п.с

ранее, тоже разных "страшилок" начитавшись, шугался от MediaGet, как от черта.)) Всячески избегал его услуг..

Но вчера, увидев отчет экспертизы от АМ о MediaGet, решил попробовать..

Как ни странно, пока положительные впечатления. Удобный интерфейс, функциональность, много настроек, онлайн просмотр закачиваемого, новинки кино, муз и т.д.., не грузит систему. По сравнению с µTorrent, это как жигули с мерсом сравнивать, имхо. )

Единственно добавило осадок, обзор от https://lurkmore.to/Участник%3aP2p/MediaGet Возможно заказной.. )

Проактивка Комодо, ничего сверх "подозрительного" в действиях MediaGet не наблюдает.

[SDA 750]

Единственно добавило осадок, обзор от https://lurkmore.to/Участник%3aP2p/MediaGet Возможно заказной..

Ориентироваться на обзор с лурки -это пять

Хотя, лично я MediaGet не доверяю, есть старый, добрый,проверенный µTorrent