43 ответов в этой теме

[农夫三拳有点疼]

Как китайский пользователь, я могу только сказать, что 360 в Китае ведет себя еще более «ра流氓ски» (altynlessly) — здесь его называют «лидером流氓ов» ( liderom skachkov).

[农夫三拳有点疼]

Про превентивную защиту ведь не зря упоминали. Если не делать отдельную функцию, то достаточно добавить новые виды ограничений, такие как: установка антивирусной защиты, установка драйвера с низкоуровневым доступом. В частности, нельзя исключать, что какой-то продукт назовётся антивирусным и будет устанавливаться идентично легальным продуктам, но не выполнять защиту. Т.е. системный защитник и центр безопасности будут думать, что система защищена другим ПО, а фактически получаем уязвимую или скомпрометированную систему.

Также вредоносное ПО может попытаться инициализировать (пере)установку/исправление Dr.Web с прерыванием/"зависанием" этого процесса на ключевом этапе, чтобы сломать продукт. Не знаю насколько в этом случае защищён процесс установки, если вдруг что-то произойдёт такого вида, включая "убийство" системного процесса с экстренным завершением работы или через вызов функционала завершения работы. Либо использование инсталлятора, чтобы не сохранять текущие настройки. Конечно, некоторая защита от вмешательства в настройки уже выполнена, но больше для бизнес-сегмента или для опытных пользователей. Новичкам же можно это направление деятельности, в т.ч. через запрет по желанию, т.е. после ручной донастройки продукта.

 

При этом, почему нельзя вести работу и защиту в параллельных направлениях? Пока превентивная защита действует универсально, антивирусная часть относит к adware все установщики, которые включают в себя элементы не по теме ПО.

 

Потенциально, можно даже выявлять ссылки на аналитику/сайт и сообщать об этом. Что-то вида adware/url. Это может быть общий тип, включая прямое открытие ссылок (опцией или без неё), запросы отправки аналитики, кликабельные ссылки в GUI (вне контекста пользовательского соглашения, авторских прав). И, здесь, имеем базу таких ссылок, которые имеют широкое распространение. Даже, если сам сайт безопасен, автор установщика "рекламирует" его. Хоть в целях защиты ПО, хоть в целях рекламы сайта репакера. Только можно сделать опцию игнорирования доверенных доменов. Например, Piant.Net указывает, чтобы скачивали его ПО с его домена. Однако, при этом есть распространение в Microsoft Store на платной основе. 

В общем подходе, можно даже создать категорию adware/donate, для любого ПО с навязчивым запросом пожертвования.

Действительно, на самом деле следует реализовать отдельную блокировку именно для таких действий, как установка в комплекте (с дополнительным ПО) и тихая установка, при этом давать пользователю возможность выбрать — блокировать их или нет. Потому что такие вещи сложно полностью предотвратить, а 360 — это всего лишь один из примеров (он активно продвигает 360 Wallpaper и 360 AI Office Assistant).

[农夫三拳有点疼]

Пояснение про детект в  рамках Adware.

Я следую описанию на сайте, что можем детектировать "посредника", а не сам конечный продукт. Ведь сам TS360 не является рекламой для внесения в такую категорию.

https://vms.drweb.ru/virus/?i=60390

https://vms.drweb.ru/unsolicited/

Однако, если сам установщик не содержит отдельного модуля, т.е. скачивает сам установщик, но тут или сам установщик в целом относить к такому ПО, или не делать детект.

 

К нежелательному ПО тоже сомнительно отнести, исходя из специфики, что сам по себе продукт не несёт явного сомнительного функционала для вреда системе/файлам.

 

Опять же, рассуждения на основе изначально поставленного вопроса.

Что мы можем сделать. 1) детектить это как unwanted или адварь

 

Как видим, по текущей классификации этот вариант потребует усилить контроль за наличием "рекламы" в установщиках, по аналогии с ESET. Либо применять иную специфику (категорию) определений, не несущую явную угрозу.

ставить второй антивирус, когда домик уже занят - это хамство-с. У нас ведь есть все средства чтобы воспрепятствовать? А то - мы на машине стоим, но явно нежелательному софту не препятствуем. Конечно, что говорит тупикал юзер? "Я просто установила программу, а дальше оно само".

Предложен вариант, когда есть перспектива расширения функционала продукта, хоть и построенное на тех. же методах. Не исключено, что какие-то функции анализа позволят не обнаруживать такое ПО вирусом при проверке файла, но детектировать "доп. модулем" (превентивная защита). Например, анализируя заголовок родительского приложения и дочернее запускаемое приложение. Если есть значительные отличия, то предупреждать пользователя. В том числе, при попытке установщиком открыть ссылку - не редко установщики "рекламируют" свой сайт/репакера и т.п., предлагая после установки посетить сайт; либо это делается в "скрытой" форме, открывая ссылку аналитики или делая запрос без браузера (подсчёт установок).

Хм, но я считаю, что сам по себе 360 не несет в себе ничего плохого — его спорная репутация возникает именно из-за поведения в виде установки в комплекте (с дополнительным ПО) и тихой установки. Возможно ли реализовать блокировку именно этих потенциальных действий, но не блокировать сам продукт 360?

[农夫三拳有点疼]

Что касается 360, то, похоже, он устанавливает связанное программное обеспечение как во время самой установки, так и после её завершения. Если не вмешаться в этот процесс, в итоге компьютер полностью заполнится программой от 360. При этом речь идет о китайской версии 360 — ситуация с 360TS (360 Total Security) пока не ясна.

Кроме того, сам 360 имеет высокомодульную структуру: многие компоненты устанавливаются только после того, как пользователь кликает по соответствующей иконке.

В такой ситуации, по моему мнению, стоит блокировать установку связанного с 360 ПО, но не препятствовать установке его компонентов.