Dlaczego według niektórych serwisów Onet rozsiewa malware

dodał 31 października 2013 o 00:17 w kategorii Złośniki  z tagami:
Dlaczego według niektórych serwisów Onet rozsiewa malware

Niektóre strony, monitorujące dystrybucję złośliwego oprogramowania, informują, że serwer pliki.onet.pl rozsiewa liczne zainfekowane pliki. Ta diagnoza jest zarówno prawdziwa, jak i fałszywa – zależy jak zdefiniujemy „zainfekowane”.

Jeden z czytelników (dziękujemy!) zwrócił naszą uwagę na statystyki serwisu www.malwareblacklist.com. Na liście wykrytego przez ten serwis złośliwego oprogramowania, dystrybuowanego w sieci, znaleźliśmy kilkadziesiąt pozycji z serwera pliki.onet.pl. Jako że sytuacja wyglądała podejrzanie, postanowiliśmy się jej bliżej przyjrzeć. W pierwszym odruchu podejrzewaliśmy włamanie – jednak okazało się, że to Onet sam sobie zaszkodził.

Złe opinie o pliki.onet.pl

Na liście „zainfekowanych” plików serwowanych przez pliki.onet.pl znaleźliśmy instalatory takich programów jak RAR, Gadu Gadu Internet Explorer, GIMP czy uTorrent.

Zainfekowane pliki na serwerze onetu

Zainfekowane pliki na serwerze onetu

Co ciekawe, nie tylko MalwareBlacklist.com uważa Onet za źródło zła – podobną diagnozę stawia także Scumware.org czy też clean-mx.de. Skąd jednak bierze się taka diagnoza? By odpowiedzieć na to pytanie pobraliśmy kilka próbek „zainfekowanych” plików i przepuściliśmy je przez serwis VirusTotal.com.

Gdzie ten wirus

Wyniki, jakie otrzymaliśmy, nie były zbyt radosne. Pobrane pliki były rozpoznawane jako złośliwe przez od 9 do 15 silników programów antywirusowych, w tym takie jak ESET, McAfee czy Sophos. Dopiero bliższe spojrzenie na wykrywane zagrożenie przyniosło rozwiązanie zagadki.

Okazuje się, że Onet, zamiast, jak przystało na szanowany serwis, udostępniać linki prowadzące bezpośrednio do pobieranych programów, postanowił serwować je za pośrednictwem dedykowanego, nikomu nie potrzebnego programu instalatora firmy InstallCore. Instalator ten, według jego twórców, zapewnia znacznie lepszą jakość pobierania plików – wyższą prędkość i mniejszy poziom zerwanych transferów. Być może miało to znaczenie  jeszcze 15 lat temu, kiedy większość użytkowników korzystała z połączeń modemowych.

Jak działa instalator

Aby przekonać się na własnej skórze, co oferuje instalator Onetu, postanowiliśmy pobrać i zainstalować najnowszą wersję Firefoksa. Pobierany plik ma nazwę „Mozilla.Firefox_25.0 (34878).exe” a jego rozmiar to tylko 599 kilobajtów. Po uruchomieniu pobranego pliku wita nas komunikat „Witaj w asystencie pobierania portalu Onet Pliki” i wszystko staje się jasne. Jeszcze tylko 3 kliknięcia i pobieramy prawdziwego instalatora Firefoksa i instalujemy program. Co ciekawe, instalator Onetu nie wyświetlił nam żadnych reklam ani nie zaproponował żadnych cudownych dodatków, rozszerzeń ani innych niezwykle każdemu internaucie potrzebnych udogodnień – był po prostu dodatkowym krokiem w całym procesie instalacji. Po co? To tylko w Onecie wiedzą. Za to 15/47 antywirusów właśnie wyświetliło komunikat o zagrożeniu…