Skocz do zawartości

Komunikat tymczasowy, zamknij krzyżykiem po przeczytaniu. Forum zostało zaktualizowane do nowej wersj. Co nowego i zgłaszanie bugów w tym wątku: klik.

picasso

Portale z oprogramowaniem / Instalatory - na co uważać

Rekomendowane odpowiedzi

Cel tematu:

 

To co się dzieje tu na forum wymaga rozwinięcia tematu, gdyż trudno mi powtarzać każdemu z osobna ten sam tekst w kółko, a coś musi być powiedziane, bo inwazja jest zastraszająca. Większość tematów pokazuje zainstalowane adware, użytkownicy zgłaszają liczne problemy z przeglądarkami / reklamami i niemożność ustawienia pożądanych opcji, czyszczenie systemów staje się coraz bardziej mozolne. Na dodatek w trakcie czyszczenia systemu lub po jego wyczyszczeniu ... użytkownik ponawia określone działania i ładuje śmieci, które z taką starannością co dopiero usunęłam. Adware może zostać nabyte w następujące sposoby:

 

- Instalator właściwy sponsorowany

- Portale z oprogramowaniem

 

 

 

 

 

Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Sponsorowane instalatory programów



... wątek w budowie, dodam również więcej zrzutów ekranu...

Zagrożeniem są aplikacje darmowe i komercyjne (tak jest, i trial ma pułapki). Właściwy instalator programu pobrany wprost ze strony domowej, który jest wspierany przez partnerów trzecich. Sponsorzy są schowani w licencjach, domyślnie zaznaczeni do instalacji, padają podchwytliwe pytania, są naciski i zagadki logiczne. Rzecz jasna chodzi o wmanipulowanie w instalację, a przy domyślnie odznaczonych opcjach i oczywistych dialogach nikt by sponsorów nie załadował. Omijanie takich min robi się coraz trudniejsze, gdyż sztab speców precyzyjnie planuje psychologiczne zagrywki. Celem jest odciągnięcie uwagi od możliwości eliminacji sponsora lub zasugerowanie że sponsor jest niezbędną / pożyteczną częścią instalacji. Stosowane sztuczki socjotechniczne (mogą być skombinowane razem):

1. Selekcja sponsora jest wykonana na poziomie strony pobierania (udając niezależną reklamę na stronie), a nie w instalatorze aplikacji per se, opcja ginie w tłumie innych treści (odciągnięta uwaga od tickboxa innymi kolorowymi elementami). Ten trik stosują produkty Adobe. Oferty sponsorowane są różne w zależności od tego z poziomu której przeglądarki jest oglądana strona. Obecnie: Firefox i Google Chrome = McAfee Security Scan Plus, IE = Google Toolbar + Google Chrome, Opera = Google Chrome.
Z moich obserwacji wynika, że jest to bardzo skuteczny pomysł, multum systemów ma zainstalowany "McAfee Security Scan Plus", a data utworzenia koreluje do instalacji Adobe. Akurat ten skaner może i nie taki do końca bezużyteczny, co nie zmienia faktu, że instalacja jest forsowana przez manipulację i zbędna.

adobe1.png adobe2.png
Widok strony z poziomu Firefox oraz Opera

2. Niepokojący fragment EULA (licencji) relatywny do sponsora jest poza widocznością ekranu. EULA programu zasadniczego i sponsora jest skombinowana, ale znaki na pierwszy rzut oka nie dają sygnału, że podany tekst może zawierać dodatkową treść i to nawet nie w polskim języku. Czytanie wymaga skrolowania w oknie do owych alarmujących ustępów. To bardzo prosty trik bazujący na wrażeniach ogólnych, przyzwyczajeniach oraz omijaniu czytania długich tekstów. Tu mogą być inne warianty z EULA np. stworzenie wrażenia, że niezależna EULA sponsora należy do programu właściwego (przykładowo przez duży napis z nazwą programu nad, EULA sponsora pod).

napi1.png napi2.png
Instalator NapiProjekt 2.1.1 (ekran numer 1, konsekwencją są też dodatkowe ekrany sponsorów)

3. Stworzenie połączenia między programem zasadniczym a sponsorem na zasadzie "migracji" reputacji. Użytkownik znając pierwszy program, nie mając jednak wiedzy o drugim, automatycznie i podświadomie utożsami instalacje jakościowo. Program zasadniczy "poleca" / "rekomenderuje" wątpliwego sponsora, sponsor "recommended by". Jest to wyraźnie napisane w oknie. "Polecany" program może skusić przeciętnego użytkownika, choćby przez analogię "polecania" z portali. Sponsor może być z automatu zaznaczony lub niezaznaczony, tu mogą być dodatkowe metody, w tym pozory wolnego wyboru.

anvi1.png
Instalator AnVir Task Manager Free 7.5 (ekran numer 1, porównaj też kolejne ekrany w dalszej części)

cheantengine1.png
Instalator Cheat Engine 6.3 (okno z pierwszą propozycją, patrz też poniżej)

(Patrz też na punkt 10 i okno ImgBurn 2.5.8.0)

4. Wybór sugerowany / tendencyjny. Użytkownik nie odczuwa nacisku w taki sam sposób, zdaje mu się że w pełni kontroluje proces instalacji i samodzielnie podejmuje decyzje, ale to działa jak reklama na bilbordzie (niby jej nie widzisz, ale podświadomość ją koduje). Jest nakłaniany do zaznaczenia "właściwej" opcji poprzez silne komunikaty wzrokowe, objętościowe oraz słowa kluczowe. Treść w oknie jest mocno skalowana i w taki sposób przedstawiona, że wybranie opcji zdaje się dobrym pomysłem.

cheantengine2.png
Instalator Cheat Engine 6.3 (okno z drugą propozycją)

5. Przedstawienie funkcji sponsora w fałszywym świetle. Opis jest w taki sposób sformułowany, by uśpić czujność, odsunąć podejrzenia od określonych (nawet wyliczonych) modyfikacji i nabrać przekonania, iż wyjątkowo niepożądany element i śmieć to pożyteczna funkcja polepszająca np. nawigację w internecie czy performance systemu, czyli koniecznie zostawić zaznaczone lub koniecznie zaznaczyć. Nadużycia, slogany, superlatywy, użycie stosownych kluczowych, uderzenie w to na czym użytkownikowi zależy. Zdarza się, że jest wykorzystywane słowo "secure" / "bezpiecznie", by rozpracować użytkownika od strony jego obaw o bezpieczeństwo systemu. Naszpikowanie "free".

6. Pozorowana unifikacja produktów. Graficznie i tekstowo. Sponsor ma brandowanie programu / udaje część pakietu, czyli zamiast bardziej podejrzanie brzmiącego "Nieznany Toolbar" jest "Nazwa firmy programu zasadniczego toolbar" wyraźnie w nazwie sugerujący przynależność do komponentów instalowanej aplikacji. Docelowym działaniem jest stworzenie wrażenia, iż odznaczenie równe jest utracie funkcji. Ta metoda może mieć i inne warianty, np. poprzez tekstowe odwołanie się do tandemu za pomocą fraz "Program X i pasek Y" / "Program X z paskiem Y" / "Specjalna oferta z programem X". Sponsor oczywiście może być dostosowany przez producenta, który dostawił do paska jakieś swoje funkcje, ale meritum są owe zmieniane wyniki wyszukiwania na wyszukiwarkę sponsora.

(Patrz też dalej na obrazek Instalator IObit Malware Fighter 2 PRO)

7. "Nakładanie" funkcji / kolizja funkcji programu zasadniczego z funkcją sponsora. Instalacja zasadnicza ma cechy wspólne ze sponsorem, tzn. oba elementy instalują się w przeglądarce i użytkownik może pomyśleć, że jest to rzeczywiście konkretna funkcja programu. A nawet jeśli i nie, może pojawić się wybieg np. graficzny sugerujący, że program wygląda jak sponsor i vice versa. O ile zderzenie funkcji byłabym skłonna uznać za przypadkowe, to już budowa okna zdaje się być zbyt przemyślana i budzi podejrzenia. Nazwa + logo programu i obrazek niezależnego paska są skonsolidowane w całość, sugerując że tak wygląda instalowany program:

ytd.png
Instalator YTD Video Downloader 4.5.1.0

8. Gra elementami graficznymi w celu zmniejszenia siły / widoczności tickboxa (lub innych elementów odrzucenia sponsora) i skoncentrowania wzroku na pozostałych częściach okna. Należy się spodziewać małych napisów, ich strategicznych lokalizacji w masie tekstu / w narożnikach / poza widocznością ekranu, w kombinacji z bardzo wyróżnionym przyciskiem przechodzenia "Dalej" / "Next", a nawet silnym kodem kolorystyki całego okna.

alcohol.png
Instalator Alcohol 120% 2.0.2.4713

foxit.png
Instalator Foxit Reader 6.0.6.0722

(Porównaj też instalator AnVir Task Manager Free 7.5 w dalszej części)

9. Ukrycie opcji sponsorów pod przykrywką opcji "Zaawansowanych" / "Advanced", "Zalecanych" / "Recommended", "Więcej opcji" / "More options", "Szybka instalacja" / "Express installation", "Wybór komponentów". Słowa kluczowe są bardzo silne i skutecznie odstraszają przeciętnego użytkownika od przejrzenia owych opcji: "szybko" to dlaczego nie, "zaawansowane" to może zbyt trudne, a skoro "zalecane" to tym bardziej nie należy grzebać, gdyż może jakaś "istotna" funkcjonalność programu nie zostanie zainstalowana. Skąd przeciętny użytkownik ma wiedzieć instalując program co jest ważne dla tej instalacji i co do niej nie należy.

10. Symulacja nieaktywności opcji poprzez zakolorowanie ich na szaro, czyli sygnalizacja znana z dialogów Windows i aplikacji jako niemożność wyboru. Na to się może nabrać nawet dość zaawansowany użytkownik, który zasugerowany kolorem nawet nie będzie próbował klikać, gdyż nie zdaje się to być logiczne, prawda?

imgburn1.png imgburn2.png
Instalator ImgBurn 2.5.8.0

(Porównaj też instalator AnVir Task Manager Free 7.5 w dalszej części)

11. Sekwencja instalacyjna mieszające ekrany właściwej instalacji z instalacją adware, sugerująca logiczne następstwo zatwierdzania przynależne do jednego i tego samego obiektu, a odmowa kojarzona z całkowitym przerwaniem instalacji. Okno programu jest opisane jako instalacja programu, lecz w oknie jest raptownie wmontowana inna treść, którą należy odrzucić (a nie zatwierdzić), z mechaniką odpowiedzi Akceptuj (Accept) / Odrzuć (Decline), Dalej (Next) / Skip i podobne. Przyciski Akceptuj / Dalej insynuują kontynuację właściwej instalacji i niezbędny krok, by ukończyć proces, a w rzeczywistości jest to zatwierdzenie instalacji sponsora. Przyciski mogą być dobrze zintegrowane graficznie z całością (powtórzenie formy przycisku z poprzedniego ekranu) i stosować silny kod kolorystyczny (akceptacja na zielono, odrzucenie sponsora na szaro), a sam opis sponsora może być tak zrobiony, by sugerować wyświetlony baner w oknie nie powiązany z przyciskami. Dodatkowe zaciemnienie następuje, gdy ta metoda jest połączona z metodologią pozorowania części pakietu.

iobit.png
Instalator IObit Malware Fighter 2 PRO 2.1

anvi2.png anvi3.png
Instalator AnVir Task Manager Free 7.5 (ekrany numer 2 i 3)

W polskiej wersji językowej instalatora może nastąpić dodatkowa przypadkowa manipulacja wynikająca ze zdekompletowanego pakietu językowego, otóż ów krytyczny Next może być wyświetlony po polsku jako "Dalej" a opcja którą należy wybrać po angielsku, niestety intuicyjnym wyborem polskiego użytkownika będzie polski przycisk (podświadome połączenie cech wspólnych), zwłaszcza jeśli nie zna angielskiego zbyt dobrze lub wcale, on po po prostu nie widzi tu wcale "Next":

daemon1.png daemon2.png
Instalator DAEMON Tools Ultra 2.0

12. Cykl "sponsor za sponsorem". Znużenie długim procesem instalacji i dużą ilością okien, w których należy podjąć nietożsame decyzje, co obniża mechanizm samoobronny i prowokuje pomyłkę. Przykładowa procedura, zaczynając od skrolowania w pierwszym oknie EULA na sam spód, by wychwycić ustęp o instalacji adware, następnie odznaczenie tickboxa, następnie przycisk odrzucenia licencji, następnie wybór między dwoma niezaznaczonymi opcjami:

utorrent1.png utorrent2.png utorrent3.png utorrent4.png
Instalator µTorrent 3.3.1

13. Nakłanianie do zmiany zdania. Odrzucenie sponsora ma przygotowane ponowienie pytania na temat jego instalacji. Użytkownik poprawnie reaguje i odznacza wszystko, akcja skutkuje pojawieniem się dodatkowego dialogu forsującego mimo wszystko instalację i dialog ów może być skonstruowany tendencyjnie: duży zielony OK (zatwierdza instalację sponsora) versus szary umniejszony w ważności Anuluj / Cancel (rezygnacja z instalacji). Ten dialog może zasugerować, że OK jest potwierdzeniem odrzucenia modyfikacji...

14. Opóźnienie instalacji adware na bazie określonego licznika czasowego, powodujące wrażenie, że adware nie zainstalowało się. Ten trik stosuje .... Java.




Osobne zagadnienie to niskie morale producentów kojarzonych z silną marką. Zupełną bezczelnością jest wykorzystywanie sponsorów w aplikacjach / aktualizacjach natury zabezpieczającej, w które pokłada się o wiele większe zaufanie niż standardowo. Dwa bardzo niechlubne wyjątki wciskające szmelc "Ask Toolbar":

1. Java: Java jest standardowo sponsorowana partnerem Ask Toolbar, ale jego obecność jest zależna od tego w jaki sposób pobiera się program. Pełne czyste instalatory to tzw. wersje offline, wersje zaśmiecone (na które jest kierowana oczywiście uwaga) to online. Problem jednak w tym, że czysty instalator instaluje automatyczny updater Java. Autoaktualizator Java jest sprytnie zaplanowany, by za każdym razem podstawić instalację Ask Toolbar, która oczywiście jest domyślnie zaznaczona. Kto aktualizuje z automatu, nabycie niepożądanego elementu jest bardzo wysokie. Chwila nieuwagi i sponsor jest przeportowany na komputer. Instalator Java stosuje trik wstrzymania czasowego instalatora sponsora, tzn. zasadnicza instalacja Ask Toolbar zostaje odłożona w czasie na około 10 minut, a użytkownik nie jest świadomy, że jest ona w toku. Oficjalnie to działanie jest przedstawione w pozytywnym świetle: "opóźnienie to ma na celu uzyskanie pewności, że oprogramowanie Java zostało pomyślnie zainstalowane". Proponuję jednak konfrontację z nieoficjalnym materiałem dowodowym czemu sprzyja ten mechanizm:

A close look at how Oracle installs deceptive software with Java updates

Java jest obecnie aplikacją przyciągającą zagrożenie, więc aktualizacje są przymusowe. Użycie sponsora w systemie aktualizacji jest nieprawdopodobnym zabiegiem. W moim temacie dedykowanym krokom końcowym po leczeniu podaję metodę obchodzenia problemu:

Java - Deaktywacja instalacji sponsorów

2. Avira: Funkcja WebGuard jest sparowana z paskiem Ask Toolbar. Ujmując sprawy wprost: za darmo jest niepełnosprawny program, zachodzi wymóg instalacji sponsora, by pozyskać funkcję zabezpieczającą. W mojej opinii jest to nie do pomyślenia i dla mnie istnieje tylko i wyłącznie jeden model postępowania: albo dajesz za darmo, albo funkcja komercyjna (uczciwa opłata a nie zgoda na instalację niepożądanej aplikacji).
Avira nie stosuje też nazwy Ask Toolbar, tylko brandowanie Avira SearchFree Toolbar plus Web Protection, by bardziej wpasować się "w klimat". Owszem, do paska są dodane pewne funkcje Avira, ale wyszukiwarka główna to Ask.

avira.png

Aktualizacja: Avira czyni jednak kroki, by podreperować reputację. Od 1 października 2013 przestały się wyświetlać reklamodawcze pop-upy (info), a pasek Ask został zastąpiony autorskim rozszerzeniem Avira skombinowanym z Abine. Od wersji Avira Free Antivirus 14.0.3.350 pasek Ask nie jest już instalowany, zastąpiło go rozszerzenie Avira Browser Safety.

Do czytania także:

Has The Antivirus Industry Gone Mad?!





Niektóre z opisanych procesów zdają się oczywiste dla użytkowników obznajomionych z tematem. To jednak doskonałe sposoby, by wyprowadzić w pole początkujących, słabo obznajomionych z komputerem, zbyt ufnych (polecenie portalu lub kolegi), mających kłopoty wzrokowe, zdekoncentrowanych i przede wszystkich tych którzy nie znają aplikacji instalując ją po raz pierwszy w życiu. Na takich zagrywkach padnie określony model użytkownika. Ja widzę po raportach systemowych co się dzieje, te instalatory wybrane jako przykład były w obrotach i przeszły pomyślnie z wszystkimi sponsorami na masie komputerów.

Niestety są również sytuacje braku wyboru:
- Program i sponsor są totalnie zintegrowane, sponsor jest po prostu nieodłącznym elementem programu.
- Instalator w ogóle nie udostępnia żadnych opcji odznaczenia/reakcji lub nie mówi wszystkiego i pozornie przy instalacji nic zdrożnego się nie dzieje. Użytkownik nie ma więc żadnej możliwości uniknięcia pułapki i nieświadomy przechodzi dalej kończąc z adware. W tym przypadku nie można wiele zaradzić, licząc raczej na research własny użytkownika i reakcje zainstalowanego oprogramowania.



.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Portale z oprogramowaniem



Portale z oprogramowaniem nie są bezpiecznym miejscem do pobierania programów, a lista godnych zaufania miejsc się skraca. Powtarzam tu od niepamiętnych czasów, że programy pobiera się ze stron domowych, by zminimalizować ryzyko "bonusów", chyba że nie ma już takiej możliwości (strona nie istnieje lub ma kłopoty techniczne, albo producent hostuje program tylko na portalu zewnętrznym). Niestety, na forum wyraźnie notuję pewne powtarzalne zachowania. Użytkownicy tendencyjnie wybierają określone linki i nie wiem na jakiej zasadzie ten wybór zachodzi. Podaję link do przyklejonego, gdzie są bezpośrednie linki pobierania np. GMER / AdwCleaner, a użytkownik komplikuje sprawy i leci od razu na pierwszy z brzegu portal i tam pobiera (inną wersję niż zalecona), przy okazji ładując kolejne śmieci... Albo po czystej instalacji systemu pierwszy krok użytkownika to portal (tendencyjnie polski), by skompletować szybko wymagane oprogramowanie, i od razu po formacie system jest znów zanieczyszczony.

Problem z portalami polega na: realizowaniu własnych interesów poprzez przemycanie niepożądanego oprogramowania przy wykorzystaniu podstępów, niezdolność szybkiej aktualizacji oprogramowania / udostępnianie aplikacji bądź opisów przestarzałych oraz niedoinformowanie na temat aplikacji.
Portale obierają określoną grupę docelową na ofiarę, tzn. żerują na niedoświadczonych i początkujących użytkownikach oraz nawykach (szybka instalacja z odruchem "Dalej") i zaufaniu. Z premedytacją wykorzystują zabiegi socjotechniczne i starannie zaplanowany design strony, który ma wprowadzić w błąd. Stosują ciosy poniżej pasa polegające na złudnych sygnałach i koncentracji uwagi na określonych elementach strony, oraz wysyłaniu silnych komunikatów podprogowych. W normalnych okolicznościach nikt by nie pobrał oferty samodzielnie. Polecam też do czytania ciekawą stronkę Dark Patterns Library.
Jest to dobrze przemyślana taktyka, gdyż portal asekuruje się argumentem "jest wybór..." i zwala winę na nieuwagę użytkownika. To jak z ofiarami gwałtu, które miały krótkie spódniczki. Czasem portal nie udostępnia żadnego wyboru i cokolwiek by zrobił użytkownik i tak skończy się to źle. Bywa że wchodzi w grę dodatkowe wykorzystanie faktu dużego pokładu zaufania wypracowanego przez portal w czasach, gdy nie stosował takich technik. Dobra reputacja uśmierza skutecznie czujność i napędza kolejne ofiary. Użytkownik przyzwyczajony do określonych zjawisk poleca portal kolejnym osobom, sam też ma osłabioną percepcję i ufnie klika, bo wcześniej nic podejrzanego nie zanotował, może także pomylić zagrywkę z "nową funkcjonalnością portalu" w pozytywnym znaczeniu tego słowa, jeśli jest niezbyt zaawansowany i na dodatek portal uprawia silny PR opowiadając bzdury o celu aplikacji. Typowymi zagraniami są, a metody mogą być skombinowane razem:


Łamigłówka z przyciskami pobierania

Takie skondensowanie reklam sponsoringowych naokoło przycisku właściwego i stronie, a wszystkie mówią to samo = Download, że użytkownik jest całkowicie zmieszany ilością przycisków i wybór przycisku staje się mocno intuicyjny i przypadkowy. Niebagatelną rolę odgrywa sprytne pozycjonowanie reklam w miejscach strategicznych i sygnalizacja kolorystyczna, zielony jest podświadomie kojarzony z dobrocią. Właściwy przycisk może być najmniejszy, gdzieś zakopany na dole i nawet nie opisany dostatecznie wprost jako pobieranie... Jest to doskonała droga do zainstalowania kompletnie innego programu, niepożądanego, oni liczą że to zrobisz. Sztuką staje się wygrzebać poprawny link i może to być niejasne nawet dla doświadczonych użytkowników. Polski użytkownik na angielskiej stronie doświadczy zeza rozbieżnego. Problem może być nieco mniejszy, jeśli polska strona ma polskie ekwiwalenty opcji, więc Pobierz jest silniejsze niż Download, acz to jeszcze zależy od kilku dodatkowych czynników (strategia lokalizacyjna, mentalność użytkownika i wyrobione odruchy) oraz pojawia się dodatkowy problem co tak naprawdę ładuje owo "Pobierz" (to wyjaśniam w dalszej części). Na polskich portalach, mimo "Pobierz" pułapka i tak czai się po uruchomieniu pobierania, gdyż na kolejnej stronie podczas gdy pobieranie jest w toku kluczowy tekst "Jeśli pobieranie nie rozpoczęło się automatycznie, kliknij na ten link" jest mocno otoczony wielkimi przyciskami "Download" sponsorów. Jeśli pobieranie nie zainicjuje się dostatecznie szybko lub zawiedzie, użytkownik oczekujący na plik może zrozumieć, że jeden z owych przycisków musi być ponownie kliknięty. Dodatkowe artykuły:

Pick a Download, Any Download!
The Dangers of Downloading Free Software
How deceiving Ads trick you on download sites
Here's What Happens When You Install the Top 10 Download.com Appsy


Uwaga: problem nie jest ekskluzywny dla portali ogólnych. Te same sztuki mogą wystąpić także na stronie domowej programu. Jako przykład mogę podać perfidnie zrobioną stronę ImgBurn (a sam program też ma adware w instalatorze).




"Download wrapper" przygotowany przez portal

Skupienie uwagi / graficzne wyróżnienie przycisku Pobierz / Download, którego cel nadrzędny to uruchomienie "download wrappera" / "opakowania" z propozycjami sponsorowanymi a nie udostępnianie bezpośredniego instalatora programu (ten schowany lub wcale niedostępny, bo nie jest to w interesie portalu). Portale przygotowują własne downloadery finansujące portal, które wyświetlają reklamy podczas procesu pobierania i/lub co gorsza oferują niepożądane śmieci / niechciane bezużyteczne wręcz szkodliwe aplikacje domyślnie zaznaczone do instalacji. Downloader ma na celu zostać intuicyjnie wybranym i przekonać do instalacji niechcianych rzeczy, więc jest wyposażony w określony zestaw cech wspomagających ten proces:

- Brak lub nikłe informacje na temat downloadera: lakoniczny opis kryty na zasadzie owych małych napisów na spodzie umowy, kompletne przemilczenie faktu lub próba przypisania mu innej funkcji niż rzeczywista (może być podlane publicznym PR).
- Konotacje nazewnicze: downloader jest opisywany w pieszczotliwy sposób, przy użyciu słów kluczowych kojarzonych potocznie z pomocą (dla początkujących), przyśpieszeniem procesów i bezpieczeństwem. Np.: "asystent pobierania", "menedżer pobierania", "bezpieczne pobieranie", "download manager", "secure download". To wszystko przywodzi na myśl całkiem inne aplikacje i procesy niż rzeczywistość nas tu poczęstuje. Dodatkowo, pobrany plik wrappera zawiera jako część nazwy nazwę właściwą programu, a w zależności od rodzaju wrappera różnica może być na tyle niewielka / niezrozumiała, że nastąpi pomylenie programów, zwłaszcza przez mniej obeznanego użytkownika, który nigdy wcześniej programu nie pobierał. Ikonka portalu obecna lub nie, ale nazwa zbieżna, to wystarczy, by wprowadzić zamieszanie.
- Profesjonalna oprawa: sygnowanie certyfikatem, ładny i pozornie przyjazny graficzny interfejs, kolorowo, szczególnie wyróżniona marka portalu wielkimi napisami, tekstowe komunikaty na temat wysokiej jakości procesu.
- Symulacja dokładnych informacji na temat przebiegu instalacji. Dopóki chodzi o program zasadniczy (lub najmniej istotną funkcję downloadera), wszystko może być bardzo szczegółowo opisane, włącznie ze spisem plików (sic!), a downloader prowadzi za rączkę. Ta szczerość i pomoc kończy się w momencie przejścia do instalacji głównego celu downloadera, czyli SPONSORA:
- Wprowadzanie w błąd. Dialogi wewnętrzne takiego wrappera mogą być ułożone w sposób, by się zgubić, ominąć, nie zauważyć, przestraszyć konfiguracji lub potraktować instalację sponsora jako część właściwej instalacji. Sponsorowane wtręty mogą stosować sztuczki z ustępu "Sponsorowane instalatory programów".

Portale korzystają z tej samej "wytwórni" polskich downloaderów, downloadery używają identycznego okna, tylko wymieniają sztafaż powierzchowny (logo i kolory).


Typowy downloader nie pełni żadnej pożytecznej roli i jego jedyny cel to przeszmuglowanie sponsorów. Cechy negatywne:

- śmiecenie dysku bezużytecznymi plikami i utrudnienie zapisu właściwego instalatora, by go zgromadzić na zapas: brak kontroli co wrapper tak naprawdę ściąga i skąd, brak kontroli nad poborem konkretnej wersji programu (to tylko portal Ci mówi jaka to wersja + wybrana przez portal forma pliku może być właśnie gorszą np. przy ściąganiu takich skanerów jak GMER/Dr. Web CureIt pobierana słabsza wersja o stałej nazwie zamiast tej o losowej), brak kontroli nad miejscem zapisu, niekiedy niejasna lokalizacja pliku zasadniczego pobranego przez downloader
- nieefektywność pobierania: wydłużenie czasu pobierania, brak funkcji naprawdę usprawniających proces (ta litosiernie dodana "pauza" procesu to tak naprawdę nic, bo to samo jest w przeglądarce internetowej!), zdarza się, że downloader waży więcej niż pobierany plik zasadniczy (!)
- narażenie na instalację bardzo niepożądanych i agresywnych programów partnerskich: śmiecenie systemu, degradacja wydajności systemu i przeglądarek, przejęte ustawienia przeglądarek, dręczenie reklamami. Sponsor często jest skonstruowany tak, by było go trudno usunąć z komputera. Również może by mostem do łańcuchowych cichych instalacji innych adware w późniejszym terminie.
- reakcje programów antymalware (użytkownik czasem nie zdaje sobie sprawy, że to jego ulubiony portal jest przyczyną): linki prowadzące do wrappera oraz pliki tegoż są wykrywane przez określone programy antymalware np. jako PUP, SoftwareBundler, Riskware a nawet i gorzej. To nie jest fałszywy alarm, jest wykonana konkretna detekcja obiektu wrapper i tego co próbuje przemycić. Przykładowo Emsisoft ma takie detekcje i poświęcił zjawisku artykuł, a MBAM ostatnio rozszerzył detekcję PUP.
- downloadery mogą stosować także triki charakterystyczne dla ingerencji malware, np. detekcja uruchomienia w środowisku wirtualnym i przedstawienie w nim innych wyników niż w rzeczywistej maszynie, fałszowanie znacznika czasowego.

Secure download resources or a malware cesspool - How trustworthy are download portals nowadays?
Malwarebytes Adopts Aggressive PUP Policy
Potentially Unwanted Program borrows tricks from malware authors



Wszystko jest wiadome tylko gdy: użytkownik jest na tyle zaawansowany i uważny, by nie dać się skołować, nie pobiera danego programu pierwszy raz w życiu i wie czego się spodziewać / widzi różnicę między downloaderem a programem zasadniczym, nie jest przypadkowym odwiedzającym lecz stałą częścią społeczności portalu i został ostrzeżony w porę w kuluarach. Jeżeli użytkownik pobiera dany program po raz pierwszy w życiu i nic o nim nie wie, nie zauważy pewnych niepokojących oznak uznając je po prostu na naturalną część procesu. I co z osobami które są niepełnosprawne, mają kłopoty ze wzrokiem?
Ze strony portalu można się spodziewać: braku reakcji, pokrętnego tłumaczenia, minimalizowania problemu i podważania definicji "PUP/adware", ustępstw tylko w takim zakresie by sobie nie zaszkodzić (nie zostanie zrealizowana prośba opt-out / wyłączenie mechanizmu tylko dla zarejestrowanych) i tylko po zbiorowym krzyku community (sam z siebie nigdy) oraz wycierania sobie gęby konkurencją. Slogany: "staranny dobór oprogramowania" (starannie dobrany sponsor który dobrze zapłacił, jakość aplikacji jest podrzędna), "nie zawiera wirusów i trojanów" (sprytne ominięcie innych definicji niepożądanego oprogramowania, które jest w detekcjach oprogramowania antymalware), "istnieje wybór" (portal wkłada siły by odciągnąć uwagę plus pojawia się nacisk rejestracyjny). Użytkownik zaniepokojony tym co się dzieje / zgłaszający zastrzeżenia jest wprowadzany dodatkowo w błąd i jego problem nie jest klasyfikowany tak jak powinien, budzi się też w nim poczucie winy, że biedny portal tak cienko przędzie. Portal nie może po prostu ujawnić prawdy, że ciągnie zyski z naiwności i że w interesie jest jak największa liczba ofiar. Argument nie do zbicia to sam fakt wstawienia szajsu do instalatora. Nikt nie zainstalowałby tych śmieci samodzielnie, one muszą być wprowadzone podstępem. Co warte odnotowania, szajs z downloadera nie jest w spisie programów linkowanych przez portal, gdyż portal jest świadomy natury aplikacji i podtrzymując mit o starannym doborze oprogramowania nie zlinkuje pełnego opisu, który stoi w sprzeczności z główną misją portalu. Poza tym, jest dla mnie jasnym, że aplikacja z wrappera musi być właśnie dostatecznie niejasna. Im mniej informacji wyraźnych na portalu per se, tym większe prawdopodobieństwo skłonienia do instalacji również i na zasadzie: "skoro ten rzetelny portal to proponuje, musi być to dobra aplikacja, sprawdzę".
Hipokryzja: portal szczyci się selekcją programów, w opisach innych programów wyraźnie ostrzega przed instalacją komponentów adware danego programu (mających cechy wspólne z propozycją w downloaderze), rzecz jasna nie ostrzega przed tym samym w swoim downloaderze.

I istotna uwaga ogólna:


Stopień zakamuflowania sponsora oczywiście wydatnie przyśpiesza proces jego wybrania, ale problem zasadniczy to sam fakt jego obecności w połączeniu z niewiedzą użytkownika na temat tej "aplikacji". Użytkownik skonfrontowany z daną nazwą po raz pierwszy w życiu nie zna natury aplikacji, nie wie że to coś niepokojącego, dlatego marka ulubionego portalu ma tak potężny wpływ na intuicyjne pozostawienie sponsora w instalacji (nawet jeśli teoretycznie jest wybór). Czytelny komunikat: portal "poleca" ten program.





Przykłady:

Nie sposób tu analizować wszystkich możliwości / zrobić kompleksową listę stron, mija się to zresztą z celem. Stron stosujących triki łamigłówek i wrapperów jest multum, zarówno zagranicznych jak i polskich, a dane stale podlegają zmianom. Ograniczę się tylko do kilku przykładów, próbując nieco zlimitować bieżące nieszczęścia moich użytkowników wychodzących z tego forum po czyszczeniu systemu. Wybór przykładów jest dyktowany tym co regularnie widzę w raportach systemowych, spisie pobranych plików i detekcjach określonych programów antymalware tutaj na forum, więc będą to głównie polskie portale. Lista w żaden sposób nie ma być kompletna, ma stanowić examplum metody i uczulić na określone działania.


Dane z dnia 16.01.2015 (niektóre opisy zaktualizowane 15.02.2016, a niektóre pochodzą z 6.10.2013) wg kolejności alfabetycznej. Punktuję datę, gdyż dane są elastyczne, sponsorzy są okresowo wymieniani, może nastąpić też zmiana techniki mącenia. Reklamy na stronach również nie są stałe, losowane przy odświeżaniu strony, a i geolokalizacja ma znaczenie (inna treść widziana z poziomu polskiego IP niż z IP zagranicznego). Jeśli któryś portal poprawi swoje postępowanie, dane zostaną adekwatnie zaktualizowane.

Downloadery mogą być ukierunkowane na określone cechy systemu (IP / geo-orientacja) i może nastąpić niezgodność danych, tzn. różni użytkownicy mogą tam widzieć inne propozycje niż przedstawione lub ich brak.




dobreprogramy.pl - Aktualizacja 16.01.2015

dobreprogramy1.png dobreprogramy2.png

Technika odwracania uwagi na stronie:

dbasystent1.png

Z zestawu podanych tu portali wyróżnia się "czysty" i estetyczny wygląd strony, co ma znaczenie w omawianym tu kontekście manipulacji, jest to bowiem oznaka dużej jakości portalu, która to jakość jest podświadomie przenoszona na wszystkie obiekty portalu i ma większą siłę przebicia do zaufania podejrzanemu elementowi niż strona w nieładzie. Strona jest sponsorowana reklamami i okazjonalnie mogą być wmontowane konkurencyjne reklamodawcze przyciski "Pobierz" / "Download". Cała uwaga jest jednak kierowana na główny duży zielony przycisk Pobierz program z małym niejasnym podpisem Asystent pobierania włączony wiodący do downloadera o przyjaznej i nie budzącej podejrzeń nazwie Asystent pobierania. Grafika przycisku ma wszelkie cechy by zostać intuicyjnym wyborem (rozmiar / kolor / strategia lokalizacyjna / słowo kluczowe), a małe napisy nań zlokalizowane są obliczone na ominięcie wzrokiem i ich niezrozumienie. Na przycisku jest malutki pytajnik, który ma wyjaśniać zadanie, ale ile osób tak naprawdę zauważy, że można na to najechać, by wyświetlić dymek? I trzeba konkretnie trafić myszką w pytajniczek, najechanie w inne miejsce napisu nic nie pokazuje. A już po kliknięciu w pobieranie i przy pobieraniu jest instrukcja "Co dalej", która wyjaśnia wszystko poza meritum (to oczywiste, że śmietnik nie będzie w instrukcji pokazany, bo odstraszy od kontynuacji / zdemaskuje cechy utajone). Przeciętny użytkownik sam z siebie nie zrozumie co to jest "Asystent", on budzi niewłaściwe skojarzenia z "pomocą" w pozytywnym znaczeniu tego słowa, a już zwłaszcza w konfrontacji z pseudo opisem "Co dalej" uciętym w odpowiednim momencie.

Prawidłowe instalatory są zlokalizowane po prawej stronie w szarym bloku Linki bezpośrednie i skrzętnie schowane (menu należy kliknąć, by rozwinąć). Nie bez kozery zastosowano tu też sygnalizację kolorów, zielony i szary mają oczywiste łącza symboliczne oraz ciężkość. Szary sugeruje niedostępność. Ten blok jest sprytniejszy niż się wydaje, otóż patrząc na niego można nawet odnieść wrażenie, że to nieaktywny nagłówek ze strzałką punktującą dane tekstowe pod spodem, m.in. zawierające mały odnośnik do producenta, który zresztą w kółko kieruje na listy dobrychprogramów. Portal wystrzega się linkowania do strony domowej programu.

"Asystent" nie jest czynny w następujących okoliczościach:
- Są niektóre programy go pozbawione. Z tego co widzę tyczy to programów antywirusowych czy deinstalacyjnych, w tym AdwCleaner, którego cel to nic innego jak usuwanie tego brudu.
- Asystent jest wyłączony dla użytkowników zarejestrowanych i zalogowanych w portalu (opcja w profilu). Widzą oni inne dane niż użytkownicy przypadkowi.
- "Jeśli w ustawieniach przeglądarki wyłączycie zgodę na ciasteczka, w ogóle nie dostaniecie asystenta pobierania. Nie trzeba ustawiać DNT ani innych opcji, wystarczy że nie akceptujecie ciasteczek. Przy buttonie pobierania będzie co prawda informacja o włączonym asystencie, ale nie zostanie on uruchomiony."

Forma pliku na dysku: NazwaProgramu(numery)-dp.exe [wcześniej NazwaProgramu(numery).exe]

dbasystent3.pngdbasystent2.png

Pliki "Asystenta" są wykrywane przez różne skanery antymalware, np. pod hasłami PUP.Optional.InstallCore, Win32/InstallCore.


Skutki uruchomienia downloadera:

asystent1.png asystent2.png asystent3.png asystent4.png asystent5.png asystent6.png

Historia sponsorów (niekompletna): reklama "szybkiego internetu", AVG Security Toolbar, Delta Toolbar, Search Gol Toolbar, Doko Search, ClearThink + modyfikacja stron na wp.pl

Pierwszy ekran nie budzi podejrzeń, skrzętny spis, nieprawdaż? Na tej liście plików nigdy nie będzie wszystkich plików, którymi w rzeczywistości częstuje downloader. Drugi ekran ujawnia prawdziwe oblicze aplikacji, tzn. pada propozycja instalacji Omiga-plus. Ekran jest o tyle podejrzany, że treść jest anglojęzyczna. Na trzecim ekranie "Asystent" się mityguje i próbuje gadać po polsku ... jak z translatora ("Dokonać wyboru, aby kontynuować"), przedstawiając ofertę wysoce niepożądanej instalacji acerace. Kolejny ekran zawiadamia o pomyślnym pobraniu pliku i wyraźnie sygnalizuje ukończenie operacji pokazując przycisk "Zakończ". To jednak nie koniec przedzierania się przez gąszcz adware. Niespodziewanie pojawia się piąty ekran oferujący śmiecia PriceFountain. Ten brak liniowości operacyjnej jest prawdopodobnie celowy i obliczony na obniżenie czujności. "Zakończ" jest po prostu jednoznaczne, użytkownik jest przekonany o stanie dokonanym.
Są tu silne podprogowe informacje odciągające uwagę od treści w oknach i sankcjonujące instalacje. Syndrom łącznika: wrapper ma potężny opis "dobreprogramy", co jest komunikatem na temat jakości wszystkich aplikacji wewnątrz wrappera (czytaj: Omiga-plus / acerace / PriceFountain = dobryprogram).
Wszystkie ekrany stosują kod kolorystyczny nakłaniający do określonego przebiegu zdarzeń, próbujący połączyć daną funkcję z inną operacją niż planowana. Kontynuowanie instalacji adware jest wyróżnione na zielono, a kluczowe opcje "Nie zgadzam się" na szaro, co insynuuje ich niedostępność lub przerwanie całego procesu (w domyśle: "plik nie zostanie pobrany"). Określone partie są łączone tym samym kolorem, by wzrokowo doprowadzić do wysłania nieprawdziwych komunikatów. Pasek z nazwą programu zasadniczego jest w tym samym kolorze co przycisk odrzucenia sponsora, sugerowana jest więc informacja: Java > Nie zgadzam się. Za to wyróżniony napis "dobreprogramy" jest na zielonym tle grzecznie łączącym się z krytycznymi przyciskami, czyli: dobreprogramy > Dalej. Okna całościowo wyglądają jak zatwierdzanie licencji Java a nie sponsorów. Opisy niepożądanych aplikacji są skonstruowane tendencyjnie przy udziale haseł typu "użyteczne narzędzia i treści". Użytkownik nie jest świadomy na co tak naprawdę wyraża zgodę, a zapewnienie o możliwości deinstalacji jest mitem.

Proponuję także skonfrontować rzekomy cel pierwszej postaci Asystenta i wyciąganie wniosków z jego aktualną formą tutaj opisaną oraz "Skutkami instalacji sponsora". Brak mi słów. Publiczne komunikaty są istotne, by zrozumieć, że manipulacja zaczęła się już przy narodzinach "projektu", tylko teraz nie da się już tego ukryć, bo wyklucza to natura sponsora.

W rejestrze jest tworzony klucz (lista pobranych programów zasadniczych):

HKEY_CURRENT_USER\Software\dobreprogramy

Bieżąca wersja "Asystenta" tworzy także dodatkowy klucz śledzący:

HKEY_CURRENT_USER\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I

Wpis w rejestrze należący do DP?
Portal Dobreprogramy a ustawa Ustawa o prawie telekomunikacyjnym z dnia 16 listopada 2012


Skutki instalacji sponsora:

Bardzo negatywne. Omiga-plus to inwazyjny hijacker, którego celem jest przekierowanie użytkownika na wątpliwą wyszukiwarkę. By uzyskać cel, stosuje wszystkie możliwe triki, nie tylko masowo przechwytuje preferencje głównych przeglądarek, ale dla wzmocnienia własnej wytrzymałości modyfikuje także wszystkie skróty LNK przeglądarek. Tym sposobem pozorne wyczyszczenie przekierowań w opcjach przeglądarek jest nieskuteczne, użytkownik musi jeszcze wiedzieć, że należy ręcznie poprawić wszystkie skróty, ale o tym na ekranach instalacji nie było ani słowa, a sama operacja poprawiania skrótów definitywnie nie jest oczywista. Instalacje acerace i PriceFountain zaleją reklamami - injekcje na przeglądanych stronach, przekształcanie losowych słów kluczowych w hyperlinki, niespodziewane pop-upy oferujące wątpliwe lub szkodliwe programy. "acerace" należy do grupy Sambreel/Yontoo - instalacje te wprowadzają w system szkodliwy inwazyjny element w postaci sterowników "StdLib" ({losowy ciąg}*.sys). Ich aktywność generuje liczne problemy w systemie takie jak: problemy z przeglądaniem internetu, spowolnienie systemu, a w krytycznych przypadkach niemożność uruchomienia systemu / niebieski ekran śmierci BSOD (przykład 1, przykład 2).
Adware trudno usunąć. O ile w Panelu sterowania niby są pozycje do deinstalacji, to deinstalacja nie odwraca wszystkich zmian i nie usuwa wszystkich komponentów. Użytkownik musi się posiłkować specjalizowanym AdwCleaner, a i to może być nie wystarczające.

Komponenty sponsora są wykrywane przez programy antymalware.

Oceniając co się dzieje na forum, ten konkretny portal to jedno z głównych źródeł klientów tutejszego działu Diagnostyki infekcji. W masie logów na forum jest bardzo charakterystyczny zestaw plików "Asystenta" w połączeniu z widoczną instalacją punktowanych adware. Żaden z użytkowników nie cieszył się, zgłaszał to jako INFEKCJĘ. Ironią jest, że co narobił portal jest usuwane na tamtejszym forum w dziale infekcji, tylko ze zrozumiałych względów ekipa ma zasznurowaną gębę i nie może jawnie ostrzec użytkownika skąd te "bonusy".





download.net.pl - w trakcie aktualizacji

downloadnet1.png downloadnet2.png

Technika odwracania uwagi na stronie:

downloadnetdl1.png

Duża kondensacja sponsorowanych reklam z dużymi zielonymi przyciskami "Download" pozycjonowanymi w czułych miejscach. O ile słownikowo da się wyłapać zasadnicze pobieranie i jest tu wyraźniejsza sygnalizacja kolorystyczna (zielony versus pomarańczowy), to jednak główne pomarańczowe przyciski Pobierz prowadzą do kolejnej strony z podwójnymi "mirrorami" i pobierania downloadera a nie programu. Nie ma żadnej wzmianki na ten temat, linki bezpośrednie nie są dostępne. One czasem mogą się kryć w drugiej fazie pobierania "Jeśli pobieranie nie rozpocznie sie automatycznie, kliknij tutaj", ale i to niepewne (ten napis może kryć zarówno downloader jak i link bezpośredni, o czym się przekonałam próbując dwa różne "mirrory" Adobe Reader).


Forma pliku na dysku: NazwaProgramu_downloader-LosowyCiąg.exe [wcześniej NazwaProgramu_downloader_by_Downloadnetpl.exe]

downloadnetdl2.png

Plik sygnowany przez Somoto (znany dystrybutor adware) i Windows Defender od razu zgłasza zastrzeżenia.

Pliki "downloadera" są wykrywane przez różne skanery antymalware.


Skutki uruchomienia downloadera:

downloadnetdl3.png downloadnetdl4.png downloadnetdl5.png downloadnetdl6.png downloadnetdl7.png

Historia sponsorów (niekompletna): Delta Toolbar + LeamurLeap, Dosearches + Wajam

Aktualizacja 6.10.2013: Wymiana sponsorów na Dosearches + Wajam, zachowana konwencja wprowadzania w błąd (odciągnięta uwaga od Skip + namowy do zmiany zdania). KolegaDudysa ujrzał inny zestaw propozycji: A2zlyics + Delta Toolbar + Speed My Computer.

Doskonały przykład downloadera do omówienia. Łączy mnóstwo technik socjotechnicznych. Od razu startuje nie budzące podejrzeń okno inicjacji instalacji programu zasadniczego "Preparing Adobe Reader" kreślące kierunek rozumowania i wtedy się zaczyna:
- Na pierwszym ekranie wita nas oferta adware Delta Toolbar. Ten ekran kumuluje techniki manipulacji bardzo silnie utylizując grafikę, by odciągnąć wzrok: uwaga jest przyciągana do nazwy zasadniczego programu "Adobe Reader - Installation program" oraz przycisku "Next" przechodzenia dalej, a to co pomiędzy jest rozmyte trikami, dodatkowo styl sugerujący tekstowo unifikację produktów ("Special offer to go along with Adobe Reader"). Treść sponsora jest wmontowana w okno w taki sposób, by potraktować to jako EULA Adobe i dekorację okna. Co my tu mamy: EULA tyczy Somoto a nie Adobe Reader, przycisk Next tyczy zatwierdzania tej licencji (to ten szary Skip ją odrzuca), a sam wybór odrzutu modyfikacji Delta jest nałożony na chaotyczne tło insynuując integrację ze wzorkiem + dla wzmocnienia zamieszania osłabienie wyboru opcji przeciwstawnej (Advanced nieomal jak symulacja nieaktywnych opcji).
- Niewiarygodna rzecz ma miejsce po odznaczeniu opcji Delta i kliknięciu "Skip". Otóż zgłasza się namolny ekran, który opisuje Delta w superlatywach (zemdlałam przy tekście: "To help us maintain the high quality of Delta brand we ask that you set Delta search engine by default") i podsuwa mocny zielony OK, by mimo wszystko zatwierdzić jej instalację. Tu wręcz się narzuca, że OK jest potwierdzeniem poprzedniej akcji, czyli odrzuceniem sponsora. Jest wręcz przeciwnie i anulowanie instalacji za pomocą Cancel.
- Zgłasza się kolejne okno w identycznej konwencji graficznej, tylko tym razem jest propozycja adware LeamurLeap. Analogiczne kodowanie informacji co poprzednio: "Adobe Reader - Installation program" + Next zatwierdza sponsora, odciągnięta uwaga od krytycznego Skip.
- Skip.... i tu się dzieją rzeczy niewidoczne i nie wspominane na dialogach (patrz na "Skutki instalacji sponsora")
Przejście przez pole minowe uruchamia z automatu instalację Adobe Reader.

W rejestrze jest tworzony klucz:

HKEY_CURRENT_USER\Software\Somoto

Skutki instalacji sponsora:

Bardzo negatywne. Wynikiem jest śmietnik w systemie i inwazja reklam. Działanie sponsorów jest oczywiste, ale nie miałam czasu zrobić tych instalacji, więc opis uzupełnię w wolnej chwili.
Pomimo odrzucenia wszystkich ofert w połączeniu z anulowaniem instalacji zasadniczej Adobe Reader, w systemie i tak zostały wstawione elementy w ogóle nie wspominane podczas procesu instalacji, na liście zainstalowanych programów pojawiły się obiekty Bundled software uninstaller oraz FileFrogs Update Checker.

Komponenty sponsora są wykrywane przez programy antymalware.





filehippo.com - Aktualizacja 15.02.2016

Krótka notatka z ostrzeżeniem. Filehippo również tymczasowo dołączyło do niechlubnej grupy dystrybutorów adware oferując "downloader" o nazwie FileHippo Download Manager. Serwis testował tę metodę dystrybucji - "downloader" był orientowany tylko na niektóre regiony i wyświetlał się tylko dla określonej puli IP. Nie wszyscy użytkownicy go widzieli, ja również nie mogłam go namierzyć, ale były informacje wskazujące że jest on aktywny. Obecnie wygląda na to, że serwis wycofał się z tych "testów", gdyż opis FileHippo Download Manager jest już niedostępny (błąd 404). Na wszelki wypadek podaję artykuł dodatkowy oraz archiwalny opis "downloadera" umieszczony na Filehippo:

Beware! FileHippo tests adware distributing download manager
What is the FileHippo Download Manager?





idg.pl - Aktualizacja 16.01.2015

Hmm, czyżby downloader został usunięty? Nie mogę już jakoś trafić na niego w tym serwisie. Stare dane przesuwam do spoilera.


Technika odwracania uwagi na stronie:

idgdownloader1.png

Forma pliku na dysku: NazwaProgramu_idg_downloader_numery_pc.exe

idgdownloader2.png

Skutki uruchomienia downloadera:

idgdownloader3.png idgdownloader4.png idgdownloader5.png

Dane z 5.10.2013: Niejaki "PC World Downloader", który para się modyfikacją strony startowej. Interesujący jest pierwszy ekran w zestawieniu z ekranem numer 2. Oba ekrany są w ścisłej sprzeczności. Pierwszy ekran z "Gwarancją bezpieczeństwa" nic kompletnie nie wyjaśnia, nie ma żadnych danych na czym polega owo "bezpieczeństwo", ale treść jest tak silna (w zestawieniu również z dokładnymi danymi na temat pobierania), że odwraca uwagę od podstawowego faktu: downloader jest kompletnie zbędny i właśnie utrudnia instalację a nie ją "przyśpiesza", na dodatek wymusza modyfikacje w przeglądarce. W kwestii owej modyfikacji (aktualnie strona IDG): jest tu manipulacja poprzez kod "zalecanych" + szarych opcji alternatywnych sugerujących przeciętnemu użytkownikowi niedostępność wyboru. Na dodatek modyfikacja jest robiona w niepoprawny sposób (podwójne "http" w adresie w IE) i sypie błędami w przypadku nie wykrycia innej przeglądarki planowanej do modyfikacji (patrz na zrzut numer 3 i error nie znalezienia preferencji Google Chrome). Jeśli ten błąd się zgłosi, downloader nie przejdzie dalej i nic nie pobierze. :lol:







instalki.pl - Aktualizacja 16.01.2015

instalki.png

Technika odwracania uwagi na stronie:

instalkimanager1.png

Ogólnie strona jest sponsorowana reklamami i w postaci nie tweakowej blokerem reklam sama w sobie jest chaotyczna i rozpraszająca, użytkownik ma zbyt dużo sygnałów. Na stronie w newralgicznych punktach mogą być rozmieszczne dodatkowe przyciski wprowadzające zamieszanie. Pula emitowanych reklam jest zmienna, więc trudno przewidzieć co i kiedy się pokaże.

Główne pobieranie to wyróżniony pomarańczony przycisk Pobierz. Pod spodem jest rozwijane menu udostępniające wybór między "Menadżerem pobierania" a "Bezpośrednim pobieraniem". Oczywiście domyślnie wybraną pozycją jest downloader i jest wątpliwym, by przeciętny użytkownik rozmyślał nad menu, ważnym elementem tworzącym stosowny nacisk jest "Pobierz". Pragnę też zwrócić uwagę, że "menadżer pobierania" budzi pozytywne skojarzenia (pomoc w pobieraniu) i mimo zauważenia opcji może pozostać intuicyjnym wyborem, a samo rozwijane menu nie zawsze skojarzy się z czynnym rozwijaniem ze względu na oczywisty kod kolorów (szary versus pomarańczowy). Ponadto: dokładnie to samo menu jest używane przy programach bez downloadera, dla oznaczenia wyboru między wersją 32-bit i 64-bit, a przyzwyczajenie do tego faktu powoduje, iż uwaga na temat innego napisu jest obniżona. Downloader pojawia się i znika. 12.03.2014 otrzymałam informację, że "Menedżer pobierania" został odczepiony od wyselekcjonowanych programów. Okazuje się, że został jednak przywrócony w późniejszym niesprecyzowanym przedziale czasowym.

Nie wszystkie programy mają downloader i nie wiem co decyduje o tym czy program idzie przez ten system (może popularność / ranking pobrań?). Pomimo że sam system jest dla mnie nie do zaakceptowania, należy jednak zaznaczyć, że portal zdaje się być bardziej uczciwy w materii downloadera, choćby poprzez skoncentrowanie wszystkich linków w jednym miejscu "pod ręką" i mniejszą ilość programów z doczepianiem (zdaje się, że jest więcej bezpośrednich plików niż downloaderów), czy bardziej rzeczowe reakcje na zażalenia użytkowników. To nie zmienia jednak faktu, że on jest i ma target oraz że są inne problemy na stronie. Wymowny jest też fakt cichego przywrócenia downloadera po jego usunięciu.

Forma pliku na dysku: pobierz_NazwaProgramu.exe [wcześniej NazwaProgramu_Downloader.exe]

instalkimanager3.pnginstalkimanager2.png

Skutki uruchomienia downloadera:

Downloader wygląda podobnie do tego z dobrychprogramów, odrzucając graficzną oprawę okna jest to replika. Na chwilę obecną nie wiadomo czym się zajmuje, pobiera plik bez pokazywania żadnych ofert. Chyba jakaś przerwa w dostarczaniu "sponsoringowego prądu". Bardzo proszę o informację na PW, jeśli zmieni się stan rzeczy. Do porównania historyczne aktywności tego "menedżera pobierania" w spoilerze:



instalkimanager2.png instalkimanager3.png

Historia sponsorów (niekompletna): patrz niżej na link do forum Instalek, QVO6 + Bonanza Deals

Dane z 5.10.2013: Downloader prawdopodobnie jest ukierunkowany na określone cechy systemu (geolokalizacja?) i może pokazywać inne dane różnym użytkownikom. U mnie przez kilka ostatnich dni uruchomienie wyżej pokazanego pliku nie przedstawiło żadnych jawnych ofert, a w systemie nie zostały odnotowane modyfikacje. Natomiast diox dostarczył dane + zrzuty ekranu (prezentowane powyżej) co jest tam obecnie widzialne w propozycjach: "najpierw QVO6, potem Bonanza Deals i to wszystko, następnie pobieranie właściwego instalatora".
Do wglądu niechlubna historia wcześniejszych działań downloadera, do czytania materiał na tamtejszym forum.



W rejestrze jest tworzony klucz:

HKEY_CURRENT_USER\Software\Instalki.pl





komputerswiat.pl - Aktualizacja 16.01.2015

komputerswiat.png

Technika odwracania uwagi na stronie:

ksasystent1.png

ksasystent2.png

Strona sama w sobie jest nieprzyjazna. Chaos na stronie, wiele przycisków Pobierz / Download mieszających ofery sponsorowane z przyciskami pobierania z serwisu i bez zablokowania reklam nawigacja niestrawna. Używana technika rozproszenia poprzez "łączenie" tym samym kolorem elementów programu oraz reklam na stronie np. na ogólnym zrzucie ekranu widać tendencyjne kierowanie wzroku, by scalić taki oto "zielony" komunikat: OK! Polecamy > Pobierz > Opis Autoruns, przy czym "Pobierz" jest związane z reklamą całkiem innego programu. tę mnogość sygnałów interpretuję jako asekurację portalu ze wszystkich możliwych stron, tzn. zwabienie użytkownika w obojętne miejsce, i tak nabędzie niepożądany program.

W materii zasadniczego pobierania portal stosuje bardzo podobną technikę jak dobreprogramy.pl, tylko jest tu jeszcze większe zamieszanie. Strona dysponuje aż dwoma przyciskami Pobierz w kolorze niebieskim (mały w prawym górnym rogu + duży w części raczej spodniej opisu), które wiodą do Asystenta pobierania a nie programu zasadniczego. Problem z rozumieniem pojęcia "asystent" już wyjaśniałam, słowo budzi niepożądane tzn. pozytywne skojarzenia. Oba przyciski mają skupisko cech, by ostatecznie zostać wybranymi, choć w tym przypadku ma to podrzędne znaczenie, gdyż brak jawnej możliwości pobrania bezpośrednio oryginalnych instalatorów. Serwis stosuje także przymus rejestracyjny, przyciski mają niejasne opisy typu "Zaloguj się, aby wyłączyć asystenta pobierania" (na małym przycisku napis pojawia się po najechaniu myszką, duży przycisk ma to napisane pod spodem).

Po rozpoczęciu pobierania są kolejne linki "Duża..." i "Optymalna prędkość pobierania", każdy z nich prowadzi ponownie do Asystenta. Linków bezpośrednich brak. Serwis unika jak ognia linkowania bezpośredniej strony producenta.


Forma pliku na dysku: NazwaProgramu.exe [wcześniej NazwaProgramu_isdmgr.exe]

ksasystent5.pngksasystent4.png

Pliki "Asystenta" są wykrywane przez różne skanery antymalware, np. pod hasłami PUP.Optional.InstallCore, Win32/InstallCore.


Skutki uruchomienia downloadera:

asystentks1.png asystentks2.png asystentks3.png asystentks4.png asystentks5.png asystentks6.png asystentks7.png asystentks8.png asystentks9.png

Historia sponsorów (niekompletna): porównaj z linkiem zewnętrznym poniżej (Delta Toolbar + Tuto4PC + Lollipop), Funmoods + QVO6 + Bonanza Deals, ClearThink + SweetPage + CouponDownloader + Optimizer Pro + Site Matcher Pro + RegClean Pro

Proszę porównać okna z Asystentem dobrychprogramów, ten sam typ tylko inne ubranko i większa ilość dialogów. Komputer Świat leci po bandzie i przewiduje złapanie użytkownika w sieć poprzez skonfrontowanie go z tak długim procesem z tyloma tendencyjnymi ekranami obsmarowanymi masą tekstu, że już dla świętego spokoju ktoś będzie klikał. Pobieranie jednego pliku jest sprzężone z aż sześcioma innymi instalacjami. Warto też zwrócić uwagę, że liczba przewidywanych kroków raportowana na pierwszym ekranie jest zwodnicza, ale użytkownik jeszcze nie wie, że liczba "kroków" jest wyższa: wielokrotne instalacje adware są liczone jako "jeden krok numer 2" + jedna z instalacji przy końcu nie ma nawet oznaczenia że jest to jakiś "krok numer...". Asystent częstuje nas kolejno inwazyjnymi produktami adware: Omiga-plus > Solution Real > Foxwebber > SweetPage > Optimizer Pro > przerwa pozorująca zakończenie instalacji > raptownie kolejna propozycja PriceFountain (nie liczona jako "krok") > koniec. Są tu podobne triki jak w Asystencie dobrychprogramów, czyli osłabianie wyboru za pomocą kolorów (szary sugeruje niedostępność / przerwanie procesów), sugerowanie EULA programu zasadniczego oraz przekłamania w opisach typu "przyśpiesza przeglądanie stron internetowych, dostarczając pomocne treści i narzędzia".

Dla porównania co ten Asystent instalował wcześniej, również obliczając na zmęczenie użytkownika, stosując sztuczki z symulacją opcji niedostępnych i odciąganiem uwagi od tickboxów. Wystarczy przeczytać nie budzący wątpliwości opis ze zrzutami ekranu: Uwaga na szkodliwe oprogramowanie z KomputerSwiat.pl!. Notabene: ten artykuł to dowód jak skuteczna jest manipulacja poprzez symulację nieklikalnych opcji, użytkownik to definitywnie źle zinterpretował i nawet nie próbował klikać, pomimo że chciał to zrobić (!).

Obowiązkowo należy także skonfrontować tę sytuację z pozycjami portalu orientowanymi na unikanie zagrożeń, w rodzaju Bezpieczny komputer - Jak bronić się przed nowymi zagrożeniami. To kuriozalne zestawienie, które całkowicie poddaje w wątpliwość rzetelność portalu.

W rejestrze jest tworzony klucz:

HKEY_CURRENT_USER\Software\komputerswiat.pl

Skutki instalacji:

Bardzo negatywne. Po pierwsze uwaga spoza tematu sponsora: w momencie gdy pobierałam plik z portalu proponowana wersja Java była dużo starsza (Java 8 update 5) niż najnowsza wersja Java dostępna na stronie producenta (Java 8 update 25), co już jest zagrożeniem, gdyż użytkownik jest wyposażany w przeterminowaną dziurawą wersję. Po drugie, pobranie jednego pliku powiązane z 6 instalacjami to jest przegięcie. Użytkownik nawet jeszcze nie zainstalował programu zasadniczego, a już jest okopany masą instalacji, następuje poważna degradacja wydajności i inne nieprzyjemności. Po trzecie, wszystkie komponenty sponsorowane są inwazyjne i skoncentrowane na przekierowaniach. Omiga już była omawiana, SweetPage to ten sam typ hijackera skrótów, reszta dba by użytkownika masowo zasypały rozmaite formy reklamowe (konwersje słów na hyperlinki, pop-upy i podobne zjawiska). Solution Real to kolejny wariant z grupy Sambreel/Yontoo, który cechują te same techniki co opisane już przy dobrychprogramach.

Komponenty sponsora są wykrywane przez programy antymalware.




pliki.onet.pl (migracja na softonet.pl) - Aktualizacja 15.02.2016

Serwis softonet.pl zastąpił stary serwis pliki.onet.pl. Poprzedni portal serwował "Asystenta pobierania" - dane archiwalne w spoilerze. Proces wymiany serwisów początkowo był reklamowany hasłem: "Pobierz najnowszą wersję programu z portalu Softonet.pl bez asystenta pobierania.". Obecnie jednak softonet.pl dla użytkowników niezarejestrowanych pełni rolę pośrednika i przy pobieraniu kieruje do Komputer Świat ("Asystent pobierania" niosący ryzyko instalacji adware). Programy mają informacje:

"Pobieranie tego pliku jest realizowane* przez serwis Komputer Świat. *Zaloguj się, aby pobrać bezpośrednio z serwisu Softonet.pl".


onetpliki.png

Technika odwracania uwagi na stronie:

onetasystent1.png

Forma pliku na dysku: NazwaProgramu(numery).exe

onetasystent2.png

Skutki uruchomienia downloadera:

onetasystent3.png onetasystent4.png onetasystent5.png onetasystent6.png onetasystent7.png

Historia sponsorów (niekomplatna): Metacrawler Toolbar + Lollipop + QVO6 + Bonanza Deals

Dane z 5.10.2013 Downloader prawdopodobnie jest ukierunkowany na określone cechy systemu (geolokalizacja?) i może pokazywać inne dane różnym użytkownikom. Ja nie widzę żadnych ofert w nim, choć w Temp powstały podejrzane pliki ("Wajam"). Serwis do listy zgłosił mi diox, który widzi tam całkiem pokaźną grupę sponsorów: "Najpierw Metacrawler Toolbar, potem Lollipop, następnie QVO6 i jeszcze Bonanza Deals". diox dostarczył także zrzuty ekranu, które zostały zaprezentowane powyżej.

W rejestrze jest tworzony klucz:

HKEY_CURRENT_USER\Software\Onet Pliki







programosy.pl - Aktualizacja 16.01.2015

programosy.png

Technika odwracania uwagi na stronie:

Strategiczne rozmieszczenie reklam otaczających opis programu. Mogą wystąpić łączniki kolorystyczne lub inne mocno rozpraszające elementy w zależności od rodzaju emitowanej reklamy. Zasadnicze pobieranie wymaga przeskrolowania bardziej na spód strony, gdzie to widnieje mniejszy kaliber przycisków, one giną w tłumie. Manipulacja skuteczna na osobach z problemami wzrokowymi oraz przy mniejszych oknach przeglądarki / rozdzielczościach, tzn. otworzone okno nie pokaże owego istotnego spodu.

Nie wydaje się, by był tam jakiś "downloader".





programs.pl - w trakcie aktualizacji

programsdownloader1.png

Forma pliku na dysku: Nazwa-Programu_numery_pc.exe

programsdownloader2.png

Windows Defender wyczuwa w nim od razu zagrożenie "SoftwareBundler:Win32/DealPly", bo też i to się chce przemycać.

Pliki "downloadera" są wykrywane przez różne skanery antymalware.


Skutki uruchomienia downloadera:

programsdownloader3.png programsdownloader4.png

W rejestrze jest tworzony klucz:

HKEY_CURRENT_USER\Software\Programs.pl

Komponenty sponsora są wykrywane przez programy antymalware.





softonic.pl - w trakcie aktualizacji

Technika odwracania uwagi na stronie:

softonicdownloader1.png

Na stronie mogą być różne okazjonalne łamigłówki z innymi przyciskami pobierania. Strona stosuje także technikę kodowania informacji, poprzez ich powtarzanie na różnych etapach pobierania. Wszędzie na stronie jest silny komunikat przy wykorzystaniu słów "bezpieczne" i "wolne od wirusów". Zasadniczy duży zielony przycisk Free download bezczelnie opisany jako "Bezpieczne pobieranie" (!) stosuje zbyt silny nacisk łamiący odporność użytkownika, on po prostu musi zostać wybrany. Po kliknięciu tego przycisku otwiera się kolejna strona repetująca tenże przycisk, ekran ponownie uspakaja użytkownika, że pobieranie jest czyste i bardzo efektywne. Uruchomienie tego sprzedaje już proces pobierania i tu w prawym rogu kolejny sygnał, tzn. zielony bloczek z napisem "Więcej informacji na temat pobierania", a po kliknięciu same superlatywy z unikiem dokładnego opisu co ten downloader jeszcze robi:

softonic4.png

Owe przyciski do znudzenia podsuwane pod nos ściągają Softonic downloader a nie program zasadniczy, a cel downloadera to wzbogacenie systemu mocno niepożądanymi instalacjami adware. Link zasadniczy programu oczywiście podany w sposób, by czynić wrażenie jego małej istotności i by go nie zauważyć, a po zauważeniu zawahać się:
- Na drugim ekranie "Program X alternatywne pobieranie z serwera zewnętrznego (bez gwarancji dostępności)". Jego rola jest umniejszona małą czcionką i sformułowaniem jakby był gorszej jakości. A jest to najlepszy link na stronie, tzn. przekierowanie do serwera producenta programu.
- Na trzecim ekranie po kliknięciu napisu "Więcej informacji na temat pobierania" ów ekran z superlatywami w prawym dolnym rogu ma drobnym druczkiem "Alternatywne odnośniki pobierania z serwera zewnętrznego", druczek dodatkowo osłabiony wielkim zielonym przyciskiem pobierania po lewej stronie.

Są pewne programy (np. CCleaner), które nie mają czynnego downloadera i jest możliwe, iż wynika to albo z funkcji programu, albo z reakcji samego producenta, który zażyczył sobie usunięcia tego wtrętu. Zauważyłam też, że czasem świeżo dodany program wcześniej idący przez downloader jest go pozbawiony.


Forma pliku na dysku: SoftonicDownloader_dla_NazwaProgramu.exe

softonicdownloader2.png

Pliki "downloadera" są wykrywane przez różne skanery antymalware.


Skutki uruchomienia downloadera:

softonicdownloader3.png softonicdownloader4.png softonicdownloader5.png softonicdownloader6.png

Downloader na pierwszym ekranie prosi o potwierdzenie licencji, to licencja Softonic a nie Google Chrome. Zdaje się to oczywiste, słowa poprawne, ale rzecz jasna to bazuje na nieuwadze, bo widoczność w oknie obejmuje tylko pozytywne frazy, trzeba przeskrolować do ustępów niewidocznych w oknie ("Cel i wymagania techniczne" wspominające o pasku + "Monitorowanie aktywności"). Drugi ekran to już konkretna propozycja załadowania adware DefaultTab + My Search Results bardzo agresywnie przejmujących ustawienia przeglądarek. Użyta klasyczna technika "Zalecanych" domyślnie zaznaczonych, w połączeniu z pozornym wyszarzeniem wyboru odznaczania śmieci, a tam i tak słowo "Zalecane" ponownie wykorzystane, by wzmocnić niepewność. Dodałam jeszcze obrazek instalacji właściwej Google Chrome, bo mimo że downloader inicjowany ze strony polskiej i polska treść w nim oraz obietnica pobrania polskiego Google Chrome, to wynikowo jest instalowane Google Chrome w języku hiszpańskim. :lol: Ostatni ekran jeszcze raz próbuje wciskać ciemnotę poprzez kolorową reklamę z silnymi kluczowymi "Szybszy komputer" + "Rozpocznij pobieranie".

Tendencyjnie dobrany przeze mnie instalator dla Google Chrome, gdyż chciałam pokazać, że manipulacja przypadkowo może wykonać się też na innym poziomie i oszukać użytkownika, który zdaje sobie sprawę jak wygląda prawdziwe Google Chrome. Czy to zatwierdzanie licencji z graficznego punktu widzenia nie jest przypadkiem podobne do licencji oryginalnego Google? Poza tym, użytkownik może nawet zrozumieć, że "DefaultTab" to jest funkcja Google Chrome. To się intuicyjnie po prostu łączy, przeglądarka i słowo "tab", a tu na dodatek polska treść. Ja jestem specjalizowana w usuwaniu malware/niepożądanych aplikacji, dysponuję więc wymaganą wiedzą na temat "programu", ale przeciętny użytkownik to wątpliwe, by znał "DefaultTab" i jego prawdziwe oblicze.

W rejestrze jest tworzony klucz:

HKEY_CURRENT_USER\Software\Softonic

Skutki instalacji sponsora:

Bardzo negatywne. ... w budowie ...

Komponenty sponsora są wykrywane przez programy antymalware.





sourceforge.net - Aktualizacja 15.02.2016

Aktualizacja: SourceForge Acquisition and Future Plans. Sourceforge zostało przejęte przez nowego właściciela, który próbuje odbudować reputację serwisu, zakończono program sponsoringowy DevShare i usunięto "downloader" portalu serwujący adware. Dane archiwalne przesunięte do spoilera.




sourceforge.png sourceforge2.png

Jest to strona innego gatunku niż pozostałe, ale niestety przeszła na ciemną stronę mocy i należy się ostrzeżenie, bo kto by się spodziewał trików zamkniętego oprogramowania na stronie z oprogramowaniem open source! Pomijając od dawna obecne reklamy na stronie, w tym grające w owe odwracanie uwagi, SourceForge uruchomiło dla programów Windows dodatkowy sponsoringowy program DevShare, proponujący developerom wyposażenie w sponsorów i udział w zyskach. Uczestnictwo jest opcjonalnie, tak więc nie wszystkie programy na SourceForge są problemem, obecnie trudno określić zakres zjawiska. Programy które dołączyły do paczki sponsorów dostarczają sponsorowany wrapper zamiast poprawnej instalacji. Jednym z przykładów jest FileZilla. Trudno przewertować całą bazę software - proszę bardzo uważać i unikać programów z przyciskami Download posiadającymi malutki opis Installer Enabled.


Technika odwracania uwagi na stronie:

installersf1.png

installersf2.png

Wyróżniony w kolorze zielonym przycisk pobierania Download z precyzyjną nazwą pliku instalacyjnego w tooltipie, kierujący wprost w objęcia wrappera o mało podejrzanej nazwie SourceForge Download Manager. Przycisk ma niejasny malutki napis Installer Enabled, któremu użytkownik może przypisać różne pozytywne znaczenia. Zadanie owego "installera" ma wyjaśniać ikonka "i". Przycisk jest skonstruowany tendencyjnie. Grafika odciąga uwagę od malutkich kluczowych elementów, a ikonka "i" wygląda jak dekoracja przycisku. Wyświetlanie dymków informacyjnych jest tu rozwiązane podobnie jak na dobrychprogramach, tzn. istotne jest miejsce najechania myszką. Normalne najechanie na przycisk pokazuje balonik z nazwą pliku nie budzącą podejrzeń, należy konkretnie trafić myszką w ikonkę, by pojawił się inny dymek z wyraźnym tekstem o instalacji adware.
Strona ma dwa rodzaje interfejsów, w zależności od przeglądanej sekcji. Drugi rodzaj interfejsu (zrzut ekranu numer 2) jest jeszcze bardziej zagmatwany i siła dodatkowych kluczowych informacji na przycisku wydatnie osłabiona. Co więcej, na drugim typie interfejsu określone czynności nawigacyjne usuwają dodatkowe informacje: przy skrolowaniu przycisk "Download" zmienia się w przyklejoną belkę i zanikają wtedy dodatkowe opisy, podobnie gdy się przejdzie do sekcji "Files".

Dodatkowym zabiegiem wprowadzającym w błąd jest stosowanie nazwy instalatora zasadniczego. Plik wrappera adware oraz poprawny plik instalacyjny mają te same nazwy. Dostępność bezpośrednich prawidłowych instalatorów nikła, są one sprytnie ukryte byle się na nie nie nadziać. Pod przyciskiem zasadniczym jest mini napis Direct download obliczony na nie zauważenie go lub zinterpretowanie jako "opisu pomocniczego" zielonego przycisku powyżej - to jest link pozwalający pobrać prawidłową wersję bez adware, a URL z którego jest pobieranie ma w adresie:
hxxp://sourceforge.net/projects/filezilla/files/latest/download?nowrap&
Ale już w sekcjach Browse All Files / Files próba pobrania jakiejkolwiek wersji EXE czy ZIP i tak prowadzi do pobrania wrappera. Informacja o instalatorach adware, tzn. napis Direct Download Link: Off, ginie w tłumie innych treści i nie jest jasny. Całe okno jest zmajstrowanie w sposób sugerujący bardzo dokładne dane pobierania, wyliczone konkretne nazwy i rozmiary plików, a ikonki informacyjne podają sumy kontrolne (!). Jednakże kliknięcie linków dla Windows prowokuje "podmianę" i tak oto np. przy pobieraniu wersji "ZIP" inicjuje się instalator EXE z adware.

installersf6.png


Forma pliku na dysku: NazwaInstalatoraZasadniczego.exe [wcześniej SFInstaller_SFFZ_filezilla_numery_.exe]

installersf4.pnginstallersf3.png

Proszę porównać z oryginalnym czystym plikiem:

installersf5.png

Pliki "downloadera" są wykrywane przez różne skanery antymalware, np. pod hasłami PUP.InstallCore, Win32/InstallCore.


Skutki uruchomienia downloadera:

sfinstaller1.png sfinstaller2.png sfinstaller3.png sfinstaller4.png

Ekrany instalacyjne są zwodnicze i obliczone na sugerowanie innych rzeczy niż planowane. Pierwszy ekran usypia czujność poprzez obecność pożądanych nazw relatywnych do strony i właściwego programu, z pseudo szczegółowymi danymi na temat przebiegu pobierania. W tym miejscu downloader próbuje zmanipulować użytkownika bazując na jego znajomości standardowego procesu normalnej instalacji opartego na sekwencji potwierdzania po tej samej stronie okna. Dalszy kierunek wytycza duży niebieski przycisk "Next". Następnie pojawiają się okna sponsorów Omiga-plus i PC Optimizer zrobione w taki sposób, by skojarzyć je z zatwierdzeniem instalacji programu zasadniczego a nie sponsorów. Na pierwszy rzut oka "Accept" wygląda jak naturalna kontynuacja instalacji programu zasadniczego po owym poprzednim "Next" (oba tej samej wielkości, w tym samym kolorze i po tej samej stronie okna), potwierdzanie tegoż faktu i jedyna droga by program zainstalować. Ile osób sobie pomyśli, że kliknięcie "Decline" będzie równoznaczne z anulowaniem FileZilla? Tu należy postąpić dokładnie na odwrót niż instalator sugeruje i wybrać "Decline", co jest odmową instalacji sponsora a nie FileZilla.
Ponadto, licencje szkodliwych programów udają licencję programu zasadniczego, w czym wydatnie pomaga duże logo FileZilla wiszące nad alarmującymi opisami. Okna zatwierdzania bardzo niepokojących instalacji są celowo graficznie skonstruowane w sposób, by objąć wzrokowo i przeczytać następującą informację: "FileZilla > END USER LICENSE AGREEMENT > Accept" ... z pominięciem całego wewnętrznego tekstu przyznależnego do całkiem innych instalacji. Jest to skuteczny pomysł, z materiałów na oficjalnym forum FileZilla wynika, że wiele osób się na to nabrało.

SourceForge malware
Malware or Spyware on Filezilla Sourceforge Download
Malware served from filezilla-project.org/download.php
Filezilla, Sourceforge and the Tel Aviv ad-/malware complex
Malware
Please offer a paid version of your product w/o adware

Nie podjęcie żadnych działań i przerwanie pracy downloadera poprzez zamknięcie jego okna i tak tworzy na dysku elementy umożliwiające "kontynuację", by użytkownik przypadkiem tak łatwo nie porzucił instalacji adware. Tzn. na Pulpicie powstaje skrót "Continue FileZilla Installation" kierujący do instalatora w Temp (%Temp%\ICReinstall_FileZilla_3.9.0.6_win32-setup.exe /RR).

Komponenty sponsora są wykrywane przez programy antymalware.







Dodam jeszcze, że istnieje grupa stron, która stosuje inne naciski, takie jak przymusowe bezużyteczne rejestracje. Przykłady: legalne.info.pl (wymuszanie rejestracji w "Mega Pliki"), softmania.pl (wysyłanie SMS).



Na zakończenie komentarz:

Nie dajcie się wprowadzić w błąd tłumaczeniem portali i broń Boże przypadkiem nie traktujcie dodatków sponsorowanych w downloaderze jako aplikacji na poziomie i wartych zainteresowania, instalacja w żadnym wypadku. Downloader próbuje instalować przede wszystkim szmelc i podejrzane aplikacje ingerujące w ustawienia wyszukiwania (wysoka popularność na portalach usuwania malware i w bazach), gdyż te są szczególnie zainteresowane w propagacji i potrafią finansowo zwabić każdy portal. Naprawdę porządne programy dające coś ciekawego to unikatowa sprawa, bo takie programy nie potrzebują reklam poprzez wrappery które są w detekcjach programów antymalware. To tylko szkodzi reputacji producenta.
Retorycznym pytaniem jest dlaczego w downloaderze są obskurne produkcje adware manipulujące wynikami wyszukiwania a nie Kaspersky Antivirus.



.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Kroki ograniczające nabycie niepożądanych dodatków



1. Złota zasada: w pierwszej kolejności udać się na stronę domową programu i tam szukać instalatora, portali ogólnych unikać jako metody pobierania. Portale są dobre do czytania newsów / artykułów / szybkiego przeglądu propozycji tematycznych, ale nie do pobierania wprost z nich. Proszę wykazać większą cierpliwość i wyniki Google przejrzeć, nie brać pierwszego z brzegu, który jest dobrze wypozycjonowanym portalem, bo zdarza się często, że pozycjonowanie jest tak nieadekwatne, iż strona domowa programu jest na pozycji numer X a portal na pierwszym. Portale tylko pozornie przyśpieszają kompletowanie oprogramowania. I jak mówiłam na początku, są dodatkowe aspekty takie jak niedoinformowanie na temat aplikacji, przykładowo zdezaktualizowana informacja o zestawie komponentów adware. Proszę jednak uważać i na stronie domowej, gdyż strona może mieć reklamy i zwodnicze przyciski "Download" wmajstrowane tak jak na portalach ogólnych. W związku z tym:

2. Filtrowanie zawartości stron poprzez usunięcie nadmiaru przycisków "Download" od reklam lub innych zwodniczych elementów, by wyodrębnić zasadniczy przycisk w na tyle widoczny sposób, by zminimalizować omyłkowe kliki. Do tego celu oczywiście bloker reklam. To niby takie oczywiste, ale jednak ja wertując cudze raporty odnotowałam, że spora ilość użytkowników tego nie posiada. Przykładowe darmowe propozycje:

uBlock Origin (ma również zintegrowany filtr Badware risks‎ blokujący określone strony z "asystentami")
Więcej propozycji

Są także inne rozwiązania polegające na instalacji w przeglądarce rozszerzenia obsługującego skrypty i załadowanie gotowego skryptu:

AntiAdware (ogólny skrypt usuwający niepożądane elementy z określonych stron pobierania)

Dorzucam też pulę tutoriali z forum:



Jestem gorącym przeciwnikiem reklam, ale proszę mieć na uwadze, że są mniejsze stronki, których autorzy udostępniają darmowe rzeczy i nie stać ich na utrzymanie strony, warto im pomóc luzując adblock u nich. Takie idee wspieram, w końcu prowadzę własny serwis, który szczyci się całkowitym brakiem reklam (to oznacza ponoszenie bardzo wysokich kosztów z mojej kieszeni). Nie mam jednak żadnej litości dla ogromnych portalowych machin, które mają bogatsze możliwości dofinansowania / lepsze zaplecze i z premedytacją wykorzystują naiwność użytkowników oraz dla projektów które bazując na zaufaniu i przyzwyczajeniu do wysokich standardów zmieniają zachowanie obliczając na omyłkową instalację.

3. Niestety nie da się uniknąć tej porady: podczas samego procesu instalacji programu trzeba być bardzo uważnym i czujnym starając się rozpoznać metody opisane w ustępie Sponsorowane instalatory programów. Nie ma innego sposobu niż Wasza uwaga, a ufać nikomu nie należy. Ileż to było sytuacji, że czysty program freeware po długofalowym pobożnym procesie instalacji nagle skusił się na sponsora, a użytkownik przyzwyczajony do poprzedniego stanu kompletnie stracił czujność.

Tu można posiłkować się dodatkowym programem do automatycznego "odznaczania" pół instalacji adware, lecz program nie zastąpi myślenia użytkownika:

Unchecky


4. Dodatkowa uwaga: Większość tematów pokazuje ślady instalacji określonych niepożądanych skanerów SpyHunter i YAC (Yet Another Cleaner). Użytkownicy zaprawieni adware wg w/w metod próbując się ratować nieumiejętnie szukają pomocy na Google i trafiają w tendencyjne wysoko pozycjonowane na Google opisy "usuwania malware" tak skonstruowane, by pobrać kolejny wątpliwy program jakoby usuwający infekcje (po instalacji okazuje się, że tylko wersja płatna ma właściwości usuwające, lub inne dziwne zjawiska). Z określonych powodów skanery nie mogą być w detekcjach innego producenta (wejście na drogę prawną, SpyHunter ma bogatą przeszłość takich wyczynów).



.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Temat powoli aktualizuję. Będąc w Polsce w okresie świątecznym miałam szansę pobrać dane z poziomu polskiego IP ("Asystenty pobierania" są geo-orientowane i w Holandii nic mi nie pokazują). Na razie zaktualizowałam informacje o Asystentach dobrychprogramów i komputerświat (główne źródła zarazy na forum), a także Sourceforge. Zrzuty ekranu pochodzą z dnia 3.01.2015, więc jest możliwe że już coś mogło się zmienić (na PW proszę mi wysłać informację). A to co się dzieje przechodzi ludzkie pojęcie.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×