yudenisov (yudenisov) wrote,
yudenisov
yudenisov

Categories:
  • Mood:

Exponenta — вирус? Перепечатано с anticriminalonl.livehournal.com


Сразу хотим отметить, что сам по себе пакет «Экспонента» не является ни вирусом, ни троянцем, ни малварью. «Экспонента» — это универсальное средство для администрирования компьютеров Windows и Linux, не входящих в домен предприятия, и является таким образом программой двойного назначения. Это как кухонный нож, им можно резать овощи, а можно и мясо. Это в отличие от пистолета, которым можно только стрелять в людей. Однако многие компании, занимаясь недобросовестной конкуренцией, вносят этот пакет в список вредоносного программного обеспечения. Поэтому авторы решили по полочкам разобрать этот пакет на возможные  вредоносы исходя из принятой классификации.


  • Вирус. Рассматривается как программа, которая, заразив файл или компьютер, занимается распространением своего кода по всей файловой систем. Пакет однозначно не является вирусом. Он устанавливается в несколько заранее определённых мест штатными инсталляторами. При желании все установленные пакеты можно удалить.

  • Червь. Определяется как программа, «гуляющая» по локальной сети и заражающая компьютеры. Тоже нет. Не смотря на то, что инсталлятор данной программы можно использовать для распространения методом социальной инжинерии и как пейлоад, это запрещено лицензионным соглашением.

  • Вымогатель (RansomWare). Однозначно нет. Антивирус может ругаться на модули LZMA, которые используются как в этой программе, так и в программах-шифровальщиках.

  • Троянец. Программа, которая, проникнув на компьютер, начинает выполнять нежелательные действия. Более того, некоторые антивирусы определяют данный пакет как подвид Trojan Downloader. Полная чушь. Программа из потенциально опасных осуществляет следующие действия: 1) Скачивает и выполняет программное обеспечение; 2) Осуществляет удалённый доступ к компьютеру из сети; 3) Устанавливает сетевые сервисы и открывает порты для них; 4) разрешает определённые задачи по расписанию; 5) Просит удалить сторонее антивирусное программное обеспечение. Но те же самые действия администратор проделывает вручную на управляемых компьютерах. Просто некоторое время назад корпорация Microsoft, заботясь о предвижении своих серовисов, добавила технологию Download & Execute в список вредоносных, и пользуясь своим служебным положением, надавила на другие антивирусные компании. Слава богу, Microsoft разблокировала эту технологию в январе 2021 года, но большинство сторонних и устаревших антивирусов воспринимает этот пакет как троянец.

  • Бэкдор. Программа, открывающая доступ к компьютеру в обход защиты. Да, в какой то мере, но это беда всех программ по администрированию компьютеров. Они по определению должны обходить стандартную защиту.

  • Кейлоггер. Программа для перехвата нажатий на клавиатуру. Безусловно нет, такой модуль в программе не разработан, хотя может быть добавлен.

  • Стилер. Программа, ворующая пароли. Безусловно нет, смотри выше.

  • Ратник. Да, это основной функционал программы. Пакет использует коллекцию ратников, которые являются бесплатными и именно поэтому попавшие в антивирусные базы компаний. Именно поэтому авторы использовали обход защиты для запуска этих ратников. Но сами ратники передают управление только на сервера Компании, что можно легко проверить программой захвата пакетов. Так что не смотря на грозные предупреждения антивирусов, ратники в этой программе безопасны. Более того, их установка не предусмотрена в базовой версии пакета.

  • Ботнет. Программа, упраляющая другими компьютерами из единого центра. В каклой то мере да, программа задумывалась для замены домена в разпределённой организации. А контроллер домена, грубо говоря, и есть центр ботонета. В принципе, программа имеет черты ботнета, и степень его вредоносности зависит от взлома системы. Изначально из единого центра передаются только сигналы о работе компьютеров и задачи на установку программного обеспечения, и ничего другого. К тому же ботнет работает в командной строке, и надо обладать уж очень высокой квалификацией, чтобы написать вредоносный код для него.

  • Фальшивывй антивирус. Нет, но в некоторых конфигурациях пакета появляется навязчивое предложение заменить сторонний антивирус Microsoft Windows штатным Windows Defender. Это необходимо для раскрытия полного функционала программы, да и просто авторы считают, что сторонние антивирусы приносят больше проблем, чем пользы. Плюс ещё тянут деньги с пользователей, обеспечивая эфемерную защиту и воруя их данные. Так что простите авторам сий грех!

  • Фишинг данных, майнинг криптовалюты и т.п. Нет, нет, и ещё раз нет. Такие «дополнения» будут только вредить функционалу пакета.

Как видите, в программе нет ничего криминального и вредоносного, за что можно отнести этот пакет к потенциально нежелательному программному обеспечению. Однако, из за несовершенства нашего законадательства и правоохранительной системы (хочется выразиться матом), даное программнй продукт по некоторым формальным признакам можно отнести к малвари, и посадить её разработчиков на пять лет. А может и нет, в законадательстве этоот вопрос не проработан, отдан на откуп судей и адвокатов. Именно поэтому разработчики соблюдают конспирацию. Расходимся поодиночке, если что, мы геологи.

P.S. Указанная статья относится не только к базовому модулю «Экспонента», но и к программе «LibScript», модулю установки и доставке поакета до потребителя, а также всем плагинам к этой программе. Они абсолютно безвредны. Однако, если у Вас параноя на такое программное обеспечение, то авторы советуют Вам всё делать самим, на свой страх ти риск. Откажитесь от технической поддержки, помощи специалистов или сервисных центров. Ведь они собирают о Вас те же самые сведения, только делают это анонимно и абсолютно нелегально. Ярким примером может служить антивирус McCaffe, о преступной деятельности создателя которого не раз писали в пресе. Авторы ещё раз заявляют, что их прорграмма изначально задумана для помощи администраторам и сервисным центрам, и не предназначена для выполнения вредоносных действий.
Tags: exponenta, libscript, new internet technologies, nit, virus, админ пак, компьютерный вирус, экспонента
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 1 comment