Комментарии 49
Хорошая работа! Avast конечно красавец, могли бы на вас сослаться.
Google play: это приложение содержит adware? нет, не слышали о таком, а вот это приложение и акаунт мы блокируем за использования названия такой-то песни!!!111
Насчет drWeb едиснтвенный который определил Trojan.BtcMine.599 в октябре, среди все «больших» антивирусов протестированных мной.
Насчет drWeb едиснтвенный который определил Trojan.BtcMine.599 в октябре, среди все «больших» антивирусов протестированных мной.
Немного уточню:
1. Указанный Вами троян распространялся для пользователей ПК под управлением ОС Windows, кося под крайне нужную штуку для Steam — т.е к мобильным антивирусам вообще никакого отношения не имеет. У виндовых и мобильных антивирусов двиги/базы/методы детекта/эвристики разные. Зачем сюда мешать малварь для винды?
2. Чисто точности ради: Avast, Eset, Avira, McAfee обнаруживали зловреда раньше, чем DrWeb. А вот Каспер — да. Со своим детектом not-a-virus:RiskTool.Win32.BitCoinMiner.xhd на этого зловреда запоздал почти на месяц. Но это тоже к теме мало относится.
А если по теме:
Автору огромное спасибо за поднятую им волну. Но я предупреждаю — это лишь первая ласточка. Засилье адвари на андроид еще впереди. Сейчас лишь идут мини-разминки и пробные шарики.
1. Указанный Вами троян распространялся для пользователей ПК под управлением ОС Windows, кося под крайне нужную штуку для Steam — т.е к мобильным антивирусам вообще никакого отношения не имеет. У виндовых и мобильных антивирусов двиги/базы/методы детекта/эвристики разные. Зачем сюда мешать малварь для винды?
2. Чисто точности ради: Avast, Eset, Avira, McAfee обнаруживали зловреда раньше, чем DrWeb. А вот Каспер — да. Со своим детектом not-a-virus:RiskTool.Win32.BitCoinMiner.xhd на этого зловреда запоздал почти на месяц. Но это тоже к теме мало относится.
А если по теме:
Автору огромное спасибо за поднятую им волну. Но я предупреждаю — это лишь первая ласточка. Засилье адвари на андроид еще впереди. Сейчас лишь идут мини-разминки и пробные шарики.
1.Да забыл уточнить что под windows,
2.Лично мной с последними обновлениями на тот момент были проверены Avast, Nod32, Avira, McAfee, Kaspersky, Symantech и все они ничего не находили. Только Malwarebytes нашел но не мог справиться, и только DrWeb нашел и удалил.
2.Лично мной с последними обновлениями на тот момент были проверены Avast, Nod32, Avira, McAfee, Kaspersky, Symantech и все они ничего не находили. Только Malwarebytes нашел но не мог справиться, и только DrWeb нашел и удалил.
Возможно какие-то особенности отдачи обновлений разным тайм-зонам/странам — у указанных мной антивирусов (в т.ч и у доктора) обновы появились на этот зловред в одни и те же сутки. Так что вполне допускаю, что на Вашем компьютере было именно так, как Вы описали.
Это с форума Eset
28.12.2014 00:30:10
EAV-0116590000, ESET Smart Security 8.0.304.1, Windows 7 64
Периодически в диспетчере задач появляется процесс steam.exe (Bitcoin майнер так его называют), который к этой программе не относится и грузит процессор на 25%, а видеокарту на 100%.
При сканировании антивирус его не находит.
Хотелось бы избавиться от него и если это возможно, то занести в базу, чтоб впредь не было проблем от него.
а тут 13 Oct 2014 в базе он уже присутствует: live.dev.drweb.com/base_info/?id=196834
Тайм-зона у меня на час отстает от РФ
28.12.2014 00:30:10
EAV-0116590000, ESET Smart Security 8.0.304.1, Windows 7 64
Периодически в диспетчере задач появляется процесс steam.exe (Bitcoin майнер так его называют), который к этой программе не относится и грузит процессор на 25%, а видеокарту на 100%.
При сканировании антивирус его не находит.
Хотелось бы избавиться от него и если это возможно, то занести в базу, чтоб впредь не было проблем от него.
а тут 13 Oct 2014 в базе он уже присутствует: live.dev.drweb.com/base_info/?id=196834
Тайм-зона у меня на час отстает от РФ
Окей, раз на слово мне веры нет, то вот пруф:
www.virustotal.com/ru/file/5666416f5ada433aaa23e6025e995ff4c9d610db96c4a00b38ab3f6472c46ba7/analysis/1413036602/ (это проверка ТОГО самого файла — он единственный в природе с таким детектом у Доктора). Как видно — данный скан от 2014-10-11, а как вы сами указали — он появился в базах у ДрВеба только 2014-10-13 — т.е спустя пару дней, но выше, дабы сгладить ситуацию я указал про обновы в один день (допустим, что базы дрвеб уже сделал 12 и сутки их тестировал — итого разница в сутки выходит).
А в сухом остатке имеем, что ДрВеб на двое суток позже его задетектил, а как вышло, что у вас на компьютере указанные мной антивирусы не обнаружили зловреда — не знаю. Предположил, что дело в обновах, в чем лично я — сомневаюсь.
А то, что вы приводите с форума есета — там речь о другом зловреде, просто он тоже имеет в системе имя steam.exe — их просто куча, а мы говорим вот про того конкретного.
www.virustotal.com/ru/file/5666416f5ada433aaa23e6025e995ff4c9d610db96c4a00b38ab3f6472c46ba7/analysis/1413036602/ (это проверка ТОГО самого файла — он единственный в природе с таким детектом у Доктора). Как видно — данный скан от 2014-10-11, а как вы сами указали — он появился в базах у ДрВеба только 2014-10-13 — т.е спустя пару дней, но выше, дабы сгладить ситуацию я указал про обновы в один день (допустим, что базы дрвеб уже сделал 12 и сутки их тестировал — итого разница в сутки выходит).
А в сухом остатке имеем, что ДрВеб на двое суток позже его задетектил, а как вышло, что у вас на компьютере указанные мной антивирусы не обнаружили зловреда — не знаю. Предположил, что дело в обновах, в чем лично я — сомневаюсь.
А то, что вы приводите с форума есета — там речь о другом зловреде, просто он тоже имеет в системе имя steam.exe — их просто куча, а мы говорим вот про того конкретного.
Года 4 назад меня до глубины души поразило ингнорирование антивирусами (avp/nod/drweb), так называемых, червей. При том что настоящих вирусов я на тот момент года два уже не встречал. Зато все что сидело в автозапуске флешек и переносок пролетало со свистом. Остановить это безумие можно было только отключением последнего или usbguard-ом, который принудительно тер безобразие с подключаемых устройств.
Пожалуйтесь в Avast за такое поведение!
Я имею в виду присваивание себе «аналитических» заслуг. У них там, на западе, ведь можно и засудить за такое!
Я имею в виду присваивание себе «аналитических» заслуг. У них там, на западе, ведь можно и засудить за такое!
Спасибо за статью. Именно по этой причине всех сторонних рекламщиков шлю лесом.
НЛО прилетело и опубликовало эту надпись здесь
Думаю не совру если предположу, что приложения App Store люто засандбоксены, Apple в отличии от Google предпочитает очень медленно и вдумчиво докручивать SDK, copy&paste и тот появился с большим опозданием, не то что подписка на разблокировку экрана.
Нет, к счастью, такой проблемы там нет, ибо SDK не позволяет, да и sandbox имеет место быть. По той же причине нет необходимости в антивирусах.
Но ведь в результате вы победили и сделали этот мир чуть чище. Почти как в первых Ёлках, когда надо передать привет президенту(Гуглу), но он далеко и высоко, но через форумы сообщение доходит до Аваста, потом сми и правило 5ти рукопожатий…
Гугл — разрабу: Вы варитесь на adware уже который год, тут вот на вас кляуза в газете появилась. Нам-то пофиг, но как-то некрасиво.
Разраб: А может, я удалю приложение и загружу его с другим названием?
Гугл: Мы ж говорим, нам пофиг, но удаляйте.
Гугл спокмен — прессе: Мы завершили операцию по поиску злоумышленников (нам-то пофиг) и удалили все ТРИ приложения из магазина (нам-то пофиг), теперь их в плее стало на целых ТРИ меньше (я не в курсе о тех паре тысяч других, что там есть), и до следующей загрузке в магазин десяти других в мире будет как бы (нам-то пофиг) чище!
Avast: Мы — молодцы, вы заметили? Купите премиум! Чуваку из России мы ничего не передаем, все равно кто он и кто мы. Купите премиум!
А пофиг или нет — читаю geektimes.ru/post/245326/ и радуюсь. А потом вижу страницу в браузере, а на баннерах такого понаписано… и ничего.
Разраб: А может, я удалю приложение и загружу его с другим названием?
Гугл: Мы ж говорим, нам пофиг, но удаляйте.
Гугл спокмен — прессе: Мы завершили операцию по поиску злоумышленников (нам-то пофиг) и удалили все ТРИ приложения из магазина (нам-то пофиг), теперь их в плее стало на целых ТРИ меньше (я не в курсе о тех паре тысяч других, что там есть), и до следующей загрузке в магазин десяти других в мире будет как бы (нам-то пофиг) чище!
Avast: Мы — молодцы, вы заметили? Купите премиум! Чуваку из России мы ничего не передаем, все равно кто он и кто мы. Купите премиум!
А пофиг или нет — читаю geektimes.ru/post/245326/ и радуюсь. А потом вижу страницу в браузере, а на баннерах такого понаписано… и ничего.
[05.02.2015 11:01] Я: habrahabr.ru/post/249765/
[05.02.2015 11:01] Я: Детектим?
[05.02.2015 11:01] Victor: да
[05.02.2015 11:02] Я: Всё с этим модулем или каждое отдельно? :)
[05.02.2015 11:02] Victor: всё с этим модулем
[05.02.2015 11:02] Я: Отлично, спасибо
Так что да, автор правильно поступил, что сообщил всем, кому нужно было сообщить.
[05.02.2015 11:01] Я: Детектим?
[05.02.2015 11:01] Victor: да
[05.02.2015 11:02] Я: Всё с этим модулем или каждое отдельно? :)
[05.02.2015 11:02] Victor: всё с этим модулем
[05.02.2015 11:02] Я: Отлично, спасибо
Так что да, автор правильно поступил, что сообщил всем, кому нужно было сообщить.
Написал в гугл на днях как превратить телефон в кирпич из кода без запроса дополнительных пермишенов. Ответил бот как обычно — здравствуйте, мы рассмотрим, мы подумаем, чпаибо до свидания. Подожду еще недельку и начну видимо через форумы пытаться донести
НЛО прилетело и опубликовало эту надпись здесь
а можно номер тикета?
0-8266000006151
я там общий принцип описал, если непонятно — не стесняйтесь пинать меня в личке. Так же у меня где то был сорец приложения (оно не во вредоносных целях создавалось, мы раздавали телефоны (свои) — партнерам, и была задача чтобы они не могли ни звонить ни смски с них слать, ни в однокласниках сидеть) — и вобщем ее удалось решить на удивление просто
Однажды я поставил себе на Android научный калькулятор. Все хорошо, полностью меня устраивает, но как-то предложил он мне поставить апдейт. Я смотрю: при обновлении надо подтвердить разрешение выходить в интернет. Зачем калькулятору выходить в интернет??? Ясен пень, что для рекламы.
Я мечтаю, что когда-нибудь при установке приложений можно будет выбирать, какие разрешения давать приложению, а какие нет.
Я мечтаю, что когда-нибудь при установке приложений можно будет выбирать, какие разрешения давать приложению, а какие нет.
В CyanogenMod такой функционал давно был. Скорее всего и сейчас есть.
В Cianogen, я слышал, можно.
Очень удивился, когда узнал, что при установке приложения из гугл.плей список пермишенов чисто информационный, думал можно тут же запрещать.
Очень удивился, когда узнал, что при установке приложения из гугл.плей список пермишенов чисто информационный, думал можно тут же запрещать.
С удивлением обнаружил такую настройку в стоковом 4.4.2. Называется «операции в приложениях» и позволяет управлять разрешениями по одному. К сожалению, оно каждый раз выдает сообщения вида «тому-то запретил то-то», и с некоторыми приложениями сообщение постоянно висит на экране. Вроде как эта штука встроена с версии 4.3, но нигде не удалось найти способа убрать эти оповещения.
play.google.com/store/search?q=app+ops&c=apps устанавливайте и запрещайте :)
Так уж устроена система монетизации Google Play: либо вы платите автору приложения пару долларов, либо получаете бесплатный вариант, но с сюрпризом. Ради денег многие разработчики готовы продать душу дьяволу рекламщикам и это естественно — не для того были прочитаны десятки умных книг и просижены тысячи часов за компьютером, чтобы бесплатно давать пользователям свой продукт.
DrWeb для Андроид тоже уже обнаруживает такую пакость.
На мой вопрос к вирусному аналитику, как там с обнаружением, был такой диалог [здесь же модно приводить диалог с разработчиком (= ]
"
dev (16:11:30 5/02/2015) да, мы это во вторник закомитили
me (16:11:53 5/02/2015) То есть теперь будет обнаруживаться такая пакость?
dev (16:12:12 5/02/2015) да
me (16:12:24 5/02/2015) Достаточно только обновления вирусных баз?
dev (16:12:31 5/02/2015) да
"
На мой вопрос к вирусному аналитику, как там с обнаружением, был такой диалог [здесь же модно приводить диалог с разработчиком (= ]
"
dev (16:11:30 5/02/2015) да, мы это во вторник закомитили
me (16:11:53 5/02/2015) То есть теперь будет обнаруживаться такая пакость?
dev (16:12:12 5/02/2015) да
me (16:12:24 5/02/2015) Достаточно только обновления вирусных баз?
dev (16:12:31 5/02/2015) да
"
Странно, у меня стоит приложение Дурак из топика, но такой рекламы я никогда не видел. Может быть ее AdFree блокирует, в настройках Cyanogen ничего приложению не запрещал.
Но вообще это наглость, не понимаю, почему Google не отреагировал (тем более это оттягивает разработчиков от AdMob, как мне кажется, в этой партнерке платят больше). Может быть они реагируют только когда жалуются многие?
Но вообще это наглость, не понимаю, почему Google не отреагировал (тем более это оттягивает разработчиков от AdMob, как мне кажется, в этой партнерке платят больше). Может быть они реагируют только когда жалуются многие?
НЛО прилетело и опубликовало эту надпись здесь
для меня, самая большая проблема с таким поведением рекламы, это найти какое приложение её показывает.
Такое впечатление что Гугл получает процент с такой рекламы
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как я боролся с adware в Google Play и проиграл