Термин «потенциально нежелательное ПО» (Potentially Unwanted Programs, PUP), как правило, используется для описания приложений, которые устанавливаются на машину пользователя без его разрешения и ведома. Такие программы принято считать не совсем вредоносными, а многие производители гаджетов предустанавливают на свои устройства целые наборы подобных приложений, ведь это приносит неплохой дополнительный доход.

Производители антивирусов годами борются против PUP, внося различные программы такого рода в черные списки и отмечая их как опасные. Однако производители таких приложений в ответ подают на антивирусные компании в суд, заявляя, что их ПО совершенно незаслуженно заклеймили как PUP или adware. ИБ-эксперты, в свою очередь, подают встречные иски против недобросовестных компаний, а в черные списки антивирусов попадают все новые нежелательные приложения. Казалось бы, это противостояние будет длиться вечно, однако некоторые компании все же готовы идти на решительные меры.

На прошлой неделе, 5 октября 2016 года, глава Malwarebytes заявил, что его компания готовится модифицировать техники обнаружения вредоносов, которые применяет в работе продукт Malwarebytes Anti-Malware (MBAM). Модификации направлены на улучшение обнаружения потенциально нежелательных программ. Новые правила, сообразно которым Malwarebytes теперь классифицирует PUP, были опубликованы на официальном сайте компании. К примеру, теперь подозрительными считаются любые приложения, которые трудно удалить, а также приложения, которые агрессивно навязывают рекламу, брендинг или вынуждают пользователя приобрести лицензионную версию. Также к PUP будут относить любые программы, авторы которых агрессивно борются с негативными отзывами и рейтингами в сети.

«Ранее подобное приводило к мощной обратной реакции: целым вереницам отвратительных постов в блогах, комментариям в защиту продукта, написанных от имени пользователей с фальшивыми профилями, а также, разумеется, мы получали горы писем на фирменных бланках, в которых от нас требовали, чтобы мы прекратили», — пишет глава Malwarebytes, подразумевая, что ожидает такой же реакции от производителей PUP и на этот раз.

Точку зрения специалистов Malwarebytes горячо поддержал Лоренс Абрамс (Lawrence Abrams), основатель и эксперт Bleeping Computer:

«Я говорил об этом множество раз: разработчики и дистрибьюторы PUP вышли из-под контроля и их нужно остановить. Они не просто создают adware и PUP, распространяющиеся обманными путями, также их продукты зачастую обладают отличительными чертами, которые можно найти разве что у вредоносного ПО. Среди таких черт могут присутствовать бэкдоры, руткиты и техники, затрудняющие удаление приложений. И хотя любой здравомыслящий человек согласится, что такое ПО должно расцениваться как вредоносное, вместо этого мы классифицируем его как PUP, либо не замечаем вовсе, потому что компании боятся юридических разбирательств с производителями PUP. По сути, даже сам термин “потенциально нежелательное ПО” был создан, чтобы открыто не называть подобные программы малварью и избежать юридических проблем», — пишет Абрамс в своем блоге.

Malwarebytes не единственная компания, решившая объявить войну PUP. 11 октября 2016 года представители Microsoft анонсировали, что еще три семейства потенциально нежелательных программ (SupTab, Sasquor и Ghokswa) были добавлены в базу инструмента Malicious Software Removal, предназначенного для удаления малвари. В прошлом месяце в черные списки Microsoft точно так же попали приложения Suweezy и Xadupi. Представители компании поясняют, что SupTab и Sasquor были обнаружены в бандлерах Istartpageing, Omniboxes, Yoursearching, iStart123, Hohosearch, Yessearches, Youndoo и Trotux, после чего их было решено признать опасными.

В развернутом отчете, посвященном новым угрозами, специалисты Microsoft пишут, что PUP – это уже не просто нежелательное ПО. Дни, когда подобный софт поставлялся вместе с легитимными приложениями и просто изменял стартовую страницу браузера, остались в прошлом. Теперь такие программы комплектуются настоящими руткитами, что делает их удаление из системы практически невозможным. Также современные PUP-продукты имеют модульную структуру, подобно сложной APT-малвари. Они устанавливают некоторые компоненты далеко не сразу и постоянно держат связь с управляющими серверами. Ниже можно ознакомиться с возможностями таких потенциально нежелательных программ, попавших в черные списки Malicious Software Removal Tool.

Название малвари Возможности
BrowserModifier:Win32/Sasquor Подменяет в браузере поиск по умолчанию и домашнюю страницу, пользуется обходными путями, чтобы не спрашивать у пользователя разрешений. Атакует пользователей Google Chrome и Mozilla Firefox. Устанавливает дополнительные сервисы и вносит в график задачи, постоянно устанавливающие на машину вредоносное ПО, к примеру, Win32/Xadupi или Tojan:Win32/Suweezy.
BrowserModifier:Win32/SupTab Подменяет в браузере поиск по умолчанию и домашнюю страницу, пользуется обходными путями, чтобы не спрашивать у пользователя разрешений. Атакует пользователей Internet Explorer, Microsoft Edge, Google Chrome и Mozilla Firefox. Устанавливает дополнительные сервисы и вносит в график задачи, постоянно устанавливающие на машину различное вредоносное ПО.
Trojan:Win32/Suweezy Пытается изменить настройки Windows Defender, Microsoft Security Essentials, AVG Antivirus, Avast Antivirus и Avira Antivirus, чтобы сканирование ряда директорий не производилось вообще. Это защищает от обнаружения удаления смежную малварь, к примеру, Sasquor и SupTab, а также другие вредоносные приложения. Suweezy, как правило, добавляет в исключения антивирусов весь диск C: сразу, что само по себе несет огромные риски.
Trojan:Win32/Xadupi Устанавливает дополнительные сервисы и вносит в график задачи по установке Ghokswa и SupTab. Судя по всему, является сервисом обновления для приложений, с которыми пользователь сталкивается «лицом к лицу». К примеру, CornerSunshine отображает информацию о погоде на панели задач, WinZipper умет открывать и распаковывать архивы, а QKSee может использоваться для просмотра изображений.
Trojan:Win32/Ghokswa Устанавливает кастомизированные версии браузеров Chrome и Firefox. Поддельный Chrome выдает себя за настоящий Google Chrome, однако использует другие домашние страницы по умолчанию, а также совсем другой поисковый фронтэнд. Если в системе уже был установлен настоящий Google Chrome, Ghokswa, которую скачивает Xadupi, скрыто останавливает все его процессы, а затем подменяет все ярлыки и ассоциации собственными.

Фото: Depositphotos



1 комментарий

  1. Jeffrey Davis

    14.10.2016 at 10:56

    А пусть бы они в своё badware что-нибудь полезное встроили: просмотрщик картинок или плеер.

Оставить мнение