31.10.2013 | 00:17

Adam Haertle

Dlaczego według niektórych serwisów Onet rozsiewa malware

Niektóre strony, monitorujące dystrybucję złośliwego oprogramowania, informują, że serwer pliki.onet.pl rozsiewa liczne zainfekowane pliki. Ta diagnoza jest zarówno prawdziwa, jak i fałszywa – zależy jak zdefiniujemy „zainfekowane”.

Jeden z czytelników (dziękujemy!) zwrócił naszą uwagę na statystyki serwisu www.malwareblacklist.com. Na liście wykrytego przez ten serwis złośliwego oprogramowania, dystrybuowanego w sieci, znaleźliśmy kilkadziesiąt pozycji z serwera pliki.onet.pl. Jako że sytuacja wyglądała podejrzanie, postanowiliśmy się jej bliżej przyjrzeć. W pierwszym odruchu podejrzewaliśmy włamanie – jednak okazało się, że to Onet sam sobie zaszkodził.

Złe opinie o pliki.onet.pl

Na liście „zainfekowanych” plików serwowanych przez pliki.onet.pl znaleźliśmy instalatory takich programów jak RAR, Gadu Gadu Internet Explorer, GIMP czy uTorrent.

Zainfekowane pliki na serwerze onetu

Zainfekowane pliki na serwerze onetu

Co ciekawe, nie tylko MalwareBlacklist.com uważa Onet za źródło zła – podobną diagnozę stawia także Scumware.org czy też clean-mx.de. Skąd jednak bierze się taka diagnoza? By odpowiedzieć na to pytanie pobraliśmy kilka próbek „zainfekowanych” plików i przepuściliśmy je przez serwis VirusTotal.com.

Gdzie ten wirus

Wyniki, jakie otrzymaliśmy, nie były zbyt radosne. Pobrane pliki były rozpoznawane jako złośliwe przez od 9 do 15 silników programów antywirusowych, w tym takie jak ESET, McAfee czy Sophos. Dopiero bliższe spojrzenie na wykrywane zagrożenie przyniosło rozwiązanie zagadki.

Okazuje się, że Onet, zamiast, jak przystało na szanowany serwis, udostępniać linki prowadzące bezpośrednio do pobieranych programów, postanowił serwować je za pośrednictwem dedykowanego, nikomu nie potrzebnego programu instalatora firmy InstallCore. Instalator ten, według jego twórców, zapewnia znacznie lepszą jakość pobierania plików – wyższą prędkość i mniejszy poziom zerwanych transferów. Być może miało to znaczenie  jeszcze 15 lat temu, kiedy większość użytkowników korzystała z połączeń modemowych.

Jak działa instalator

Aby przekonać się na własnej skórze, co oferuje instalator Onetu, postanowiliśmy pobrać i zainstalować najnowszą wersję Firefoksa. Pobierany plik ma nazwę „Mozilla.Firefox_25.0 (34878).exe” a jego rozmiar to tylko 599 kilobajtów. Po uruchomieniu pobranego pliku wita nas komunikat „Witaj w asystencie pobierania portalu Onet Pliki” i wszystko staje się jasne. Jeszcze tylko 3 kliknięcia i pobieramy prawdziwego instalatora Firefoksa i instalujemy program. Co ciekawe, instalator Onetu nie wyświetlił nam żadnych reklam ani nie zaproponował żadnych cudownych dodatków, rozszerzeń ani innych niezwykle każdemu internaucie potrzebnych udogodnień – był po prostu dodatkowym krokiem w całym procesie instalacji. Po co? To tylko w Onecie wiedzą. Za to 15/47 antywirusów właśnie wyświetliło komunikat o zagrożeniu…

Powrót

Komentarze

  • 2013.10.31 00:53 Ihotep

    Dostęp do rejestru, WriteFile, VirtualAlloc, GetSystemInfo. Oprócz tego dostępy w pamięci – troche jak najzwyklejszy crypter, więc nie ma się co dziwić :)

    Odpowiedz
  • 2013.10.31 00:59 tymik

    warto przelecieć artykuł spellcheckerem przed publikacją.

    Odpowiedz
  • 2013.10.31 11:03 Drew

    To samo jest ze stroną dobreprogramy.pl, co chwilę dostaję alerty że ludzie pobierają malware, a to tylko nikomu niepotrzebne instalatory: https://www.virustotal.com/en/ip-address/194.0.171.151/information/
    Po co oni tak „uszczęśliwiają” ludzi na siłę?

    Odpowiedz
  • 2013.10.31 11:18 zmechu

    Jest to jedna z rzeczy, które najbardziej mnie wkurzają w internecie. Spora część programów a szczególnie serwisów udostępniających pliki instaluje/aktualizuje się za pomocą różnorakich „asystentów” „managerów” czy innych „downloaderów”. Dla mnie to zwykły balast, zaśmiecanie komputera durnowatym oprogramowaniem i przede wszystkim zmuszenie użytkownika do korzystania podejrzanego softu. Dlatego też wolę pogrzebać w Sieci głębiej i samodzielnie odnaleźć oryginalnego instalatora.

    A dlaczego jest taki soft? Albo firmy pośredniczące mają jakąś prowizję (lub inny deal), albo zwyczajnie interesują ich szersze statystyki pobieranych plików. Bo przecież nikt nie posądza ich o jakieś szpiegostwo lub niecne działanie za plecami użytkowników :-)

    Odpowiedz
    • 2013.11.02 20:50 Rexx

      A kto tu cię zmusza. Jak wolisz ściągać pliki z gównianego Onetu zamiast ze strony producenta, to później nie płacz, że komputer muli i masz niechciane dodatki. Zresztą Interia czy Onet to portale które z definicji należy omijać z daleka. Ich nierzetelność aż nadto razi.

      Odpowiedz
  • 2013.10.31 12:36 Xppq

    Panie to oni tam na windzie Terminala nie mają? :) sudo apt-get install nie 'umiejo’ ?

    Odpowiedz
  • 2013.10.31 13:22 lukasz

    W przypadku dobreprogramy zdaje się, że ten instalator proponuje domyślnie dodanie jakiegos paska do przeglądarki i zmianę strony domyślnej. Dopiero po wybraniu instalacji zaawansowanej można to odznaczyć. Mam dziwne przeczucie że wielu „zielonych” użytkowników tego nie odznacza tylko z rozpędu klikają dalej, dalej, dalej

    A później na co drugim komputerze nieogarniętej osoby 30 pasków w przeglądarce i 15 gówien w trayu systemowej. Postaw takiej osobie świeżego Win7 i przyjdź za miesiąc a załamiesz sie.

    Odpowiedz
  • 2013.11.01 10:37 ja

    jak to nikomu nie potrzebne? przecież ludzie którzy piszą te instalatory zarabiają na tym, ludzie którzy umieszczają programy na stronie, które można pobrać wyłącznie przez ten „instalator” też zarabiają kasa kasa kasa to się liczy. Jak głupi user nie potrafi sobie zorganizować programu z normalnej strony to znaczy że można mu wszystko wsadzić na dysk a on i tak nie zauwazy

    Odpowiedz
  • 2013.11.05 08:19 blad201

    Jedyny „instalator” jakiego używam to ten, który tworzy menu i sprawdza ew. odświeża na pendrive aplikacje z portableapps.com

    Odpowiedz
    • 2018.03.18 16:31 z3suser

      blad201 zgadzam się portebleapps.com jest jednym z lepszych programów

      Odpowiedz

Zostaw odpowiedź do tymik

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Dlaczego według niektórych serwisów Onet rozsiewa malware

Komentarze