Генералы рекламных карьеров

Наиболее активным распространителем вредоносных приложений на сегодняшний день является партнерская программа Installmonster.ru — в последнее время она специализируется на распространении рекламных троянцев. Среди представителей этого семейства можно отметить такие приложения как Trojan.Zadved.1, а также Trojan.Admess.1, о распространении которого мы сообщали 6 февраля. Однако деятельность компании «Доктор Веб» по борьбе с рекламными троянцами приходится по душе далеко не всем. Так, вскоре после публикации упомянутой выше новости в нашу компанию поступило письмо от администрации партнерской программы Installmonster. Желающие могут ознакомиться с текстом письма здесь.

Вскоре после этого в пресс-службу компании пришло еще одно письмо — якобы от самого создателя троянца Trojan.Admess.1, Сергея Ко***ева (фамилия скрыта по соображениям приватности).

Как видно из текстов писем, представитель партнерской программы и сам создатель приложения утверждают, что плагин для браузеров, размещающийся в настоящее время на сайте adobe-sdk-site.com, не несет в себе никакого вредоносного функционала. Действительно, файл, расположенный сейчас на данном сайте, имеет размер порядка 500 Кбайт, и не представляет собой какой-либо угрозы, поскольку является точной копией широко известного плагина для социальной сети «ВКонтакте». В данном случае владельцу сайта и автору данной браузерной надстройки хватило ума только на то, чтобы поменять в коде название плагина.

Опубликованная компанией «Доктор Веб» новость, посвященная троянцу Trojan.Admess.1, касалась совершенно другого плагина, имевшего размер порядка 6 Кбайт, и распространявшегося с использованием возможностей партнерской программы Installmonster. Очевидно, что представители партнерской программы, и сам создатель троянца, пытаются ввести в заблуждение сотрудников компании «Доктор Веб», причем весьма наивным и нелепым способом. Модераторов Installmonster совершенно не смутило то обстоятельство, что плагин распространялся под видом проигрывателя Adobe Flash Player, в связи с чем можно предположить, что используемые ими способы «проверки рекламодателей» неэффективны, либо вовсе отсутствуют. Что же касается функционала, связанного с кражей паролей, который по словам представителей Installmonster «не нашел подтверждения», то очевидные выводы можно сделать исходя из простого анализа кода рассматриваемого нами плагина.   

Однако основным функциональным назначением данного плагина является все же подмена рекламных модулей на популярных сайтах, обладающих высокой посещаемостью, к которым пользователи традиционно относятся с определенной степенью доверия. При этом плагин демонстрирует баннеры рекламных сетей, давно замеченных в распространении вредоносного ПО и продвижении мошеннических сайтов — все эти сети и рекламируемые ими ресурсы присутствуют в базах Родительского контроля Dr.Web. Именно в силу наличия этого функционала данное приложение было отнесено вирусными аналитиками к категории троянских (т.е полностью вредоносных) программ.

В ответ на утверждение представителей Installmonster о том, что их партнерская программа «не нацелена на распространение вредоносного ПО, и готова сотрудничать по детектированию нечестных рекламодателей» нам хотелось бы напомнить читателям о троянце Trojan.Zadved.1, которому была посвящена отдельная статья, опубликованная на сайте компании «Доктор Веб» еще в 2013 году. Несмотря на огласку данного факта, указанный троянец до сих пор распространяется партнерской программой Installmonster, в настоящее время — под видом плагина «eTranslator».

Наконец, в отношении предложения представителей партнерской программы о том, что «данные рекламодателя у нас есть, и могут быть представлены при соответствующем запросе» компания «Доктор Веб» может сообщить, что в данном случае в предоставлении сведений нет необходимости: рекламодатель-распространитель вредоносного ПО сам опубликовал на своей домашней страничке собственные контактные данные, в частности, номера мобильного телефона, а также биометрическую и автобиографическую информацию, включающую рост, вес, дату и место его рождения.

Специалисты компании «Доктор Веб» напоминают, что в Законодательстве Российской федерации предусмотрена уголовная ответственность за распространение вредоносного ПО. Надеемся, эта информация заинтересует правоохранительные органы. В свою очередь, мы будем и в дальнейшем прикладывать все усилия для борьбы с распространителями троянских программ и нерекомендуемых рекламных приложений.