最近、VKontakteソーシャルネットワークに、ネットワークの機能を拡張するプラグイン(メディアのダウンロードやその他の「トリック」が追加されます)、およびYouTubeサイトをダウンロードする提案が登場しました。 コンピューターへのリンクをクリックすると、setupWP.exeファイルがダウンロードされますが、調査が示したように、このアプリケーションは完全に信頼できるものではありません。 さらに、いくつかの実装機能のおかげで、ほとんどのウイルス対策保護をバイパスしました。
提案は次のとおりです。
サイトでアドバタイズされるプラグインの機能は次のとおりです。
表示された時点では、インストーラには3つの検出しかありませんでした。
インストーラー自体とすべての実行可能ファイルはUPXによってパッケージ化され、有効なデジタル署名で署名されていることに注意してください。 署名には次の情報が含まれます。
CN = Chernyshov Victor
O = Chernyshov Victor
STREET = Stancionnaya str, 3-2, app. 31
L = Mytischi,
S = Moscow Region
PostalCode = 000000
C = RU
悪名高いCOMODO Code Signing CAによって発行された2。
setupWP.exeのサイズは400392バイトです(MD5 4028128db46e8f63a3fdd4df8d283a4e)。 起動後、setupWP.exeは%appdata%に2つのファイルを作成します。サイズが239488バイトのWebPlugins.exe(MD5 ef5fdd65d44e99b0fd8d0efe62893ced)とサイズが67456バイトのWebPluginsLauncher.exe(MD5 16ca4708932d4d7c5a7ea7cebd9d609)。 ファイルはMicrosoft Visual C ++ 8で書かれています。
また、setupWP.exeはデフォルトのブラウザーにアドオンを追加します。FireFoxの場合は{91cbe447-0cab-4798-b096-45e5e33ac229} .xpiでした。
WebPluginsLauncher.exeはWebインストーラーのようです。オフサイトに接続し、現在のバージョンをダウンロードします。
Internet connection: Connects to "217.172.177.31" on port 80.
Internet connection: Connects to "download.web-plugins.ru" on port 80.
Internet connection: Connects to "ref.web-plugins.ru" on port 80.
webplugins.exeは、単にブラウザー拡張機能(アドオン)を作成します。
主な機能はアドオン自体にあります。 JavaScriptで記述されています。 コードはこちらで確認できます 。 はい、もちろん、アドオンは宣言されたグッズを実行します。 そして、「ライセンス契約」に記載されている軟膏のハエ、すなわち:
8.広告。 「WebPlugins」は、vkontakte.ruサイトの広告ブロックを変更する場合があります
使用します。 このサイトでの広告の変更の方法、モード、および期間
本ソフトウェアの内容は異なる場合があります。 Webプラグインを使用することにより、Webプラグインは、
サードパーティの広告主の活動と。
コマーシャルの形で-また追加します。 しかし、このプログラムは、「契約」またはサイトで言われていないことを行います。つまり、アカウントからスパムを送信します。 伝えられるところでは、ユーザーは作業中にこれに同意します。 非常に可能性が高い場合、このプログラムの分類はアドウェアであり、条件付きで悪意があります。
同時に、著者はこれを非常に率直に自慢しています。 おそらくこれらは著者ではありません。 しかし、Googleテキストは記憶しています。
残念ながら、有効なデジタル署名のため、ウイルス対策ベンダーはファイルの悪意を認識したがらないため、すべての被害者がこのレビューで説明されているすべてのファイルを手動で削除し、最も重要なこととしてアドオンを削除することをお勧めします。
執筆時点では、VKontakteグループ(http://vkontakte.ru/club21410428)は既にブロックされていますが、 オフサイトは引き続き機能しています。 ドメインは、個人によってReg.Ruを介して登録されました。
VirusNet AssociationとSafeZone.ccリソースのおかげで、WebPluginの検出と分析が可能になりました。 詳細はこちらをご覧ください 。
PS WebPluginsの作者がコメントに登場し、修正することを約束しました。 これが将来のバージョンでどのように決定されるかは、著者の良心にかかっています。 コメントを読んでください。