11 лютого 2014 року
Шкідливі програми, призначені для демонстрації в браузері користувача різної нав'язливої реклами, останнім часом стали з'являтися все частіше і частіше. Тільки за останнє півріччя в вірусні бази Dr.Web було додано безліч подібних рекламних троянців, значна частина яких поширювалася з використанням різних партнерських програм.
Найбільш активним розповсюджувачем шкідливих додатків на сьогоднішній день є партнерська програма Installmonster.ru - останнім часом вона спеціалізується на поширенні рекламних троянців. Серед представників цього сімейства можна відзначити такі додатки як Trojan.Zadved.1 , а також Trojan.Admess.1 , Про поширення якого ми повідомляли 6 лютого. Однак діяльність компанії «Доктор Веб» по боротьбі з рекламними троянцями припадає до душі далеко не всім. Так, незабаром після публікації згаданої вище новини в нашу компанію надійшов лист від адміністрації партнерської програми Installmonster. Бажаючі можуть ознайомитися з текстом листа тут .
Незабаром після цього в прес-службу компанії прийшло ще один лист - нібито від самого творця троянця Trojan.Admess.1 , Сергія Ко *** єва (прізвище прихована з міркувань приватності).
Як видно з текстів листів, представник партнерської програми і сам творець програми стверджують, що плагін для браузерів, що розміщується в даний час на сайті adobe-sdk-site.com, не несе в собі ніякого шкідливого функціоналу. Дійсно, файл, розташований зараз на даному сайті, має розмір близько 500 Кбайт, і не представляє собою будь-якої загрози, оскільки є точною копією широко відомого плагіна для соціальної мережі «ВКонтакте». В даному випадку власнику сайту і автору цієї браузерної надбудови вистачило розуму тільки на те, щоб поміняти в коді назву плагіна:
Зліва - то, що лунає зараз з сайту adobe-sdk-site.com, праворуч - оригінальний плагін «VkOpt» 
Опублікована компанією «Доктор Веб» новина , Присвячена троянцу Trojan.Admess.1 , Стосувалася зовсім іншого плагіна, що мав розмір близько 6 Кбайт, і розповсюджувався з використанням можливостей партнерської програми Installmonster. Очевидно, що представники партнерської програми, і сам творець троянця, намагаються ввести в оману співробітників компанії «Доктор Веб», причому вельми наївним і безглуздим способом. Модераторів Installmonster абсолютно не збентежило те обставина, що плагін поширювався під виглядом програвача Adobe Flash Player, в зв'язку з чим можна припустити, що вони вживали способи «перевірки рекламодавців» неефективні, або зовсім відсутні. Що ж стосується функціоналу, пов'язаного з крадіжкою паролів, який за словами представників Installmonster «не знайшов підтвердження», то очевидні висновки можна зробити виходячи з простого аналізу коду розглянутого нами плагіна. Давайте звернемо увагу на представлені нижче скріншоти:
Введені користувачем дані з підробленою форми, що вбудовується троянцем в веб-сторінку соціальної мережі «ВКонтакте», передаються скрипту log_vk.php, розташованому на сайті http://adobe-sdk.com.
Введені користувачем дані з підробленою форми, що вбудовується троянцем в веб-сторінку пошукової системи «Яндекс», передаються скрипту log_yandex.php, розташованому на сайті http://adobe-sdk.com.
Введені користувачем дані з підробленою форми, що вбудовується троянцем в веб-сторінку сайту Mail.Ru, передаються скрипту log_mail.php, розташованому на сайті http://adobe-sdk.com.
Введені користувачем дані з підробленою форми, що вбудовується троянцем в веб-сторінку соціальної мережі «Однокласники», передаються скрипту log_ok.php, розташованому на сайті http://adobe-sdk.com.
Однак основним функціональним призначенням даного плагіна є все ж підміна рекламних модулів на популярних сайтах, що володіють високою відвідуваністю, до яких користувачі традиційно ставляться з певним ступенем довіри. При цьому плагін демонструє банери рекламних мереж, давно помічені поширення зловмисних програм і просуванні шахрайських сайтів - всі ці мережі і рекламовані ними ресурси присутні в базах Батьківського контролю Dr.Web. Саме в силу наявності цього функціоналу для цієї програми було віднесено вірусні аналітиками троянської (тобто повністю шкідливих) програм.
У відповідь на твердження представників Installmonster про те, що їх партнерська програма «не націлена на поширення шкідливого ПЗ, і готова співпрацювати з детектування нечесних рекламодавців» нам хотілося б нагадати читачам про троянця Trojan.Zadved.1 , Якому була присвячена окрема стаття, опублікована на сайті компанії «Доктор Веб» ще в 2013 році. Незважаючи на розголос даного факту, вказаний троянець досі поширюється партнерською програмою Installmonster, в даний час - під виглядом плагіна «eTranslator».
Нарешті, щодо пропозиції представників партнерської програми про те, що «дані рекламодавця у нас є, і можуть бути представлені при відповідному запиті» компанія «Доктор Веб» може повідомити, що в даному випадку в наданні відомостей немає необхідності: рекламодавець-розповсюджувач шкідливого ПО сам опублікував на своїй домашній сторінці власні контактні дані, зокрема, номера мобільного телефону, а також біометричну і автобіографічну інформацію, що включає зростання, вага, дату і місце його рождени я.
Фахівці компанії «Доктор Веб» нагадують, що в Законодавстві Російської федерації передбачена кримінальна відповідальність за поширення шкідливого ПЗ. Сподіваємося, ця інформація зацікавить правоохоронні органи. У свою чергу, ми будемо і надалі докладати всіх зусиль для боротьби з розповсюджувачами троянських програм і не рекомендованих рекламних додатків.
