🧔🏻 👨🏾‍🔬 🕺🏽 VKontakteプラグインの「メリット」についての詳細、またはWebPluginに関するストーリー 👨🏽‍🍳 👩🏿‍⚕️ 👩🏼‍🚀

みなさんこんにちは！

最近、VKontakteソーシャルネットワークに、ネットワークの機能を拡張するプラグイン（メディアのダウンロードやその他の「トリック」が追加されます）、およびYouTubeサイトをダウンロードする提案が登場しました。コンピューターへのリンクをクリックすると、setupWP.exeファイルがダウンロードされますが、調査が示したように、このアプリケーションは完全に信頼できるものではありません。さらに、いくつかの実装機能のおかげで、ほとんどのウイルス対策保護をバイパスしました。

提案は次のとおりです。

サイトでアドバタイズされるプラグインの機能は次のとおりです。

表示された時点では、インストーラには3つの検出しかありませんでした。

インストーラー自体とすべての実行可能ファイルはUPXによってパッケージ化され、有効なデジタル署名で署名されていることに注意してください。署名には次の情報が含まれます。

CN = Chernyshov Victor 
      

        
        
        
      

     O = Chernyshov Victor 
      

        
        
        
      

     STREET = Stancionnaya str, 3-2, app. 31 
      

        
        
        
      

     L = Mytischi, 
      

        
        
        
      

     S = Moscow Region 
      

        
        
        
      

     PostalCode = 000000 
      

        
        
        
      

     C = RU

悪名高いCOMODO Code Signing CAによって発行された2。

setupWP.exeのサイズは400392バイトです（MD5 4028128db46e8f63a3fdd4df8d283a4e）。起動後、setupWP.exeは％appdata％に2つのファイルを作成します。サイズが239488バイトのWebPlugins.exe（MD5 ef5fdd65d44e99b0fd8d0efe62893ced）とサイズが67456バイトのWebPluginsLauncher.exe（MD5 16ca4708932d4d7c5a7ea7cebd9d609）。ファイルはMicrosoft Visual C ++ 8で書かれています。

また、setupWP.exeはデフォルトのブラウザーにアドオンを追加します。FireFoxの場合は{91cbe447-0cab-4798-b096-45e5e33ac229} .xpiでした。

WebPluginsLauncher.exeはWebインストーラーのようです。オフサイトに接続し、現在のバージョンをダウンロードします。

Internet connection: Connects to "217.172.177.31" on port 80. 
      

        
        
        
      

     Internet connection: Connects to "download.web-plugins.ru" on port 80. 
      

        
        
        
      

     Internet connection: Connects to "ref.web-plugins.ru" on port 80.

webplugins.exeは、単にブラウザー拡張機能（アドオン）を作成します。

主な機能はアドオン自体にあります。 JavaScriptで記述されています。コードはこちらで確認できます。はい、もちろん、アドオンは宣言されたグッズを実行します。そして、「ライセンス契約」に記載されている軟膏のハエ、すなわち：

8.広告。「WebPlugins」は、vkontakte.ruサイトの広告ブロックを変更する場合があります

使用します。このサイトでの広告の変更の方法、モード、および期間

本ソフトウェアの内容は異なる場合があります。 Webプラグインを使用することにより、Webプラグインは、

サードパーティの広告主の活動と。

コマーシャルの形で-また追加します。しかし、このプログラムは、「契約」またはサイトで言われていないことを行います。つまり、アカウントからスパムを送信します。伝えられるところでは、ユーザーは作業中にこれに同意します。非常に可能性が高い場合、このプログラムの分類はアドウェアであり、条件付きで悪意があります。

同時に、著者はこれを非常に率直に自慢しています。おそらくこれらは著者ではありません。しかし、Googleテキストは記憶しています。

残念ながら、有効なデジタル署名のため、ウイルス対策ベンダーはファイルの悪意を認識したがらないため、すべての被害者がこのレビューで説明されているすべてのファイルを手動で削除し、最も重要なこととしてアドオンを削除することをお勧めします。

執筆時点では、VKontakteグループ（http://vkontakte.ru/club21410428）は既にブロックされていますが、オフサイトは引き続き機能しています。ドメインは、個人によってReg.Ruを介して登録されました。

VirusNet AssociationとSafeZone.ccリソースのおかげで、WebPluginの検出と分析が可能になりました。 詳細はこちらをご覧ください。

PS WebPluginsの作者がコメントに登場し、修正することを約束しました。 これが将来のバージョンでどのように決定されるかは、著者の良心にかかっています。 コメントを読んでください。

VKontakteプラグインの「メリット」についての詳細、またはWebPluginに関するストーリー

More articles: