Mediaget безопасная ли программа

Если вы читаете эту страницу, то скорее всего вы знаете о том, что некоторые антивирусы определяют MediaGet как потенциально нежелательную программу (или PUA). В данной статье мы решили выложить комментарии антивирусных компаний касательно MediaGet, чтобы прояснить некоторые особенности данного детекта.

Итак, почему же MediaGet детектируется антивирусами и что означает фраза «Потенциально нежелательная программа» (PUA)?

На странице антивируса ESET мы видим, что PUA — это довольно широкая категория программного обеспечения, задачей которого не является однозначно вредоносная деятельность. Такие приложения могут устанавливать дополнительное нежелательное программное обеспечение, изменять поведение цифрового устройства, а также выполнять действия без запроса или разрешения пользователя. . К потенциально нежелательным приложениям могут относиться следующие категории приложений: программы для показа рекламы, оболочки загрузок…

Таким образом, множество программ, которые не несут реальной угрозы попадают под данную формулировку. Например, за счет того, что они показывают внутри себя рекламу или могут скачивать файлы, что как раз и делает MediaGet.

Mediaget или μTorrent ® ? Чем качать торренты?

Некоторое время назад мы получили следующие комментарии АВ Касперского о причинах блокировки MediaGet:

Продукты АО Лаборатории Касперского относят MediaGet к одной из категорий легального программного обеспечения и не считают файлы вредоносными. Нотификации, выдаваемые конечному пользователю, носят информационный характер и являются корректными.

Причин добавления такой категории несколько:

1. Во-первых, MediaGet сам по себе является загрузчиком. Как это и указано в сообщениях продукта not-a-virus:Downloader.*
2. Файлы с инсталляторами MediaGet носят название игр, фильмов, книг и прочего, что в дальнейшем должно быть загружено. Однако, отображаемая после установки плеера загрузка не всегда соответствует имени файла, полученного с файлообменника.
3. Предложения дополнительного софта при установке плеера выполнены в не самом очевидном формате. Многие пользователи могут не заметить, что галочки на самом деле можно убрать.
4. Дополнительные параметры скрыты от пользователя, по умолчанию все они активны.

Давайте подробно рассмотрим каждой из этих пунктов:

• Скачивание через MediaGet

Чтобы упростить процесс скачивания файлов, мы разработали схему, которая позволяет пользователям быстро скачивать файлы с помощью нашего клиента. Поскольку торрент-файлы требуют отдельного загрузчика и не могут скачиваться напрямую, то пользователь получает сначала MediaGet, через который уже скачивается необходимый файл.

На многих сайтах присутствует блок, в котором предлагается «Скачать файл с помощью MediaGet». После клика по ссылке скачивается установщик MediaGet, который называется так же, как файл, который хочет скачать пользователь. После его запуска появляется окно установщика MediaGet, где будет написано, какой файл будет скачиваться после завершения установки.

Пару слов про MediaGet , хороший софт?

Это помогает избежать путаницы в скачанных файлах. Однако не на всех сайтах есть возможность встроить искомый файл в установщик. На таких сайтах передается поисковый запрос и при установке отображается, что после ее окончания будет произведен поиск файла. Мы постоянно совершенствуем функцию поиска и подключаем новые открытые ресурсы, чтобы Вы всегда могли найти и скачать необходимый файл.

Данная схема распространения является причиной детектирования, поскольку считается, что пользователя не в полной мере информируют о том, что будет скачано.

Здесь приводим еще один комментарий АВ Касперского по данному пункту:

Также хотелось бы отметить, что решение о классификации конкретного ПО принимается не только на основе самого файла — мы учитываем и схему его распространения. Если пользователя не в полной мере информируют о том, что будет скачано (например, пользователь думает, что скачивает фильм, а вместо него получает менеджер загрузок), то мы считаем необходимым классифицировать такое ПО как not-a-virus:Downloader и предупредить пользователя, что он скачивает загрузчик. Загрузка файла и его запуск при этом никак не блокируются.

MediaGet — вирус или нет? (расследование)

Привет друзья, значит в своей прошлой статье я рассказывал о такой программе как MediaGet, как ней пользоваться и что это такое. Как я понял, то программа полезная, при помощи нее можно даже смотреть фильмы не скачивает. Работает по технологии торрент и ничего опасного я в ней не увидел. Но правда я пользовался ей несколько дней, я просто посмотрел что да как и сделал вывод, что не все так плохо

Но опять же, в интернете много пользователей недовольны MediaGet и говорят что в ней содержится вирус, троян или еще какая-то ерунда. Я сегодня решил проверить это все и разобраться.

Для этого я установлю MediaGet на компьютер и проверю его несколькими антивирусными программами (как оказалась достаточно было одной), чтобы узнать вирус это или нет. Надеюсь, что данная информация будет и вам полезной. Также, покопавшись в интернете, пришел к выводу что очень много пользователей думает что MediaGet это вирус. Поэтому тут точно нужно разобраться

MediaGet я установил, все как обычно, только лишние галочки при установке я снял. И кстати вам тоже советую это делать при установке любого софта.

Сперва я из программы вышел:

Первой антивирусной утилитой, которой я проверю комп на рекламные вирусы и рекламное ПО, это будет AdwCleaner. Она себя зарекомендовала как эффективный инструмент против рекламной заразы.

Начинается сканирование и вот какие были найдены зараженные папки:

Все — больше я нигде не увидел присутствие опасных обьектов, то есть расширений вирусных в браузеров нет, и ярлыков вирусных тоже нет.

В общем это все означает, что AdwCleaner расценивает программу MediaGet как вирусную и поэтому ее удаляет. После того, как AdwCleaner удалил MediaGet, то после перезагрузки компа был выдан такой отчет:

В котором написано что именно было удалено. Как видите, даже не пришлось использовать несколько антивирусных утилит, все и так было ясно после проверки AdwCleaner.

Что я думаю по этому поводу? MediaGet вряд ли является настоящим вирусом, то есть он вряд ли что-то крадет у пользователей, ворует пароли там. Кстати еще учтите, что Яндекс не считает сайт MediaGet опасным (а раньше считал):

Тут дело немного в другом. MediaGet относится к потенциально опасным программам по той причине, что в нем может быть скрытый вирус-ботнет, этот вирус на самом деле не несет прямой опасности для пользователя. Он не крадет ничего, не показывает рекламу, не меняет настройки. Он просто тихонько, когда вы ничем особым за компьютером не занимаетесь, то он в это время может использовать производительность вашего ПК в своих целях.

Ботнет, что это? Это сеть зараженных ПК вирусом ботнет, которые все вместе представляют из себя мощную вычислительную систему для решения тех или иных хакерских задач. То есть тут нет такой цели в первую очередь как украсть у вас пароли, аккаунты соц. сетей и прочее.

Вот именно по этой причине я думаю что ПО MediaGet относится к потенциально опасным!

• MediaGet как ни крути работает с торрент-сетям, то есть качает и раздает, в любом случае трафик идет в две стороны: к вам и от вас; в таком режиме трудно определить наличие вредоносных соединений;
• программа достаточно удобная, в ней есть реклама (правда немного), она все делает так как о ней написано на официальном сайте, то есть находит, качает или воспроизводит видео сразу;
• очень интересный момент, MediaGet может воспроизводить видео из торрента, в то время как в uTorrent такая возможность платная, вот тут не совсем понятно; разработчики uTorrent ведь не дураки ломить цену за то, что есть бесплатно в другом торрент клиенте; или может быть это в бесплатном клиенте MediaGet есть такая функция, чтобы отбить пользователей в uTorrent; в общем для меня сегодня программа, которая работает стабильно, быстро, четко, с удобным интерфейсом и при этом бесплатная, да и еще имеет то, чего нет у других (а вернее есть, но только в платной версии) — выглядит подозрительно; как будто не просто так это все.. ну это вам на заметку;

Вот такие ребята у меня мысли. Если хотите, вы тоже можете проверить комп AdwCleaner или HitmanPro (это тоже эффективная антивирусная утилита) и убедится самостоятельно, MediaGet это вирус или нет.

Одной из первых антивирусных компаний, который отнесли данное ПО к потенциально опасным, были Dr.WEB.

Ну что, все свои мысли я написал, что-то мне кажется что лучше MediaGet удалить со своего компа и не использовать больше, так бы сказать от беды подальше

Удачи вам ребята

PS: кстати ребята тут недавно я снова проверил комп где стояла программа MediaGet и вот какой результат:

Источник: virtmachine.ru

Анализ торрент-клиента MediaGet на принадлежность к классу потенциально нежелательных программ

Компания Media Get LLC обратилась к информационно-аналитическому центру в области информационной безопасности Anti-Malware.ru для проведения экспертизы торрент-клиента MediaGet и схемы его распространения на предмет её потенциальной опасности для пользователей сети Интернет.

Введение

MediaGet является бесплатным программным продуктом (торрент-клиентом), предназначенным для скачивания контента из пиринговых сетей. Официальный сайт программы: http://mediaget.com/

Ознакомиться с историей появления и развития компании MediaGet не представляется возможным – на официальном сайте по этому поводу нет никаких сведений.

В начале этого года компания «Доктор Веб» проведя анализ торрент-клиента MediaGet и его схемы распространения, расценила его как потенциально опасную. Естественно, после этого последовало добавление детектирования MediaGet в антивирусные базы Dr.Web как потенциально опасной программы (вердикт Program.MediaGet). Как было изложено в пресс-релиза компании «Доктор Веб», сделано это было на основании следующих факторов:

1. Исполняемый файл MediaGet имеет имя закачиваемого ресурса без указания каких- либо запросов на скачку и установку MediaGet. По сути, пользователь вводился в заблуждение разработчиками MediaGet.
2. При установке MediaGet тулбар от mail.ru устанавливался без учёта того, был ли соответствующий чекбокс включён либо выключен.

С текстом пресс-релиза компании «Доктор Веб» относительно MediaGet можно ознакомиться по данной ссылке: http://news.drweb.com/show/?i=2205c=5.

Цель исследования

Специалистами информационно-аналитического центра Anti-Malware.ru было проведено исследование текущего состояния программного продукта MediaGet и партнёрской программы компании Media Get LLC с целью выяснения, является ли MediaGet потенциально опасной программой.

Методология

Исследованию была подвергнута актуальная на момент обращения на Anti-Malware.ru (7 марта 2012) версия MediaGet 2.01.1472.

В ходе исследования были рассмотрены:

• Процесс установки отдельной копии MediaGet;
• Работа программы MediaGet.

Анализу были подвергнуты:

1. Проверка схемы распространения программы MediaGet для конечного пользователя.
2. Проверка установки программы MediaGet на предмет потенциальной опасности для пользователя.
3. Проверка работы заявленного производителем функционала и отсутствие незадекларированных функций.

Анализ MediaGet

Была проанализирована схема распространения торрент-клиента MediaGet компанией MediaGet LLC и торрент-порталом RuTor.org, ибо именно на основании претензий к схеме распространения программа MediaGet была занесена производителями антивирусных решений в класс потенциально опасной программы с блокировкой сайта разработчиков.

На сайте RuTor.org ссылка на скачивание любого торрент-файла на момент подготовки статьи сопровождалась рекламным блоком MediaGet. При щелчке на кнопке «Скачать ХХХ с помощью MediaGet» происходит скачивание исполняемого файла MediaGet. При этом если кликнуть на ссылку чуть выше «Скачать ХХХ.torrent», то произойдет скачивание обычного торрент-файла.

Рисунок 1. Пример скачивания установочного файла MediaGet вместо запрашиваемого .torrent-файла

При этом необходимо отметить, что MD5-хеш скачиваемого файла каждый раз разный. Более того, исполняемый файл установочного модуля не подписан цифровой подписью, хотя отдельные файлы самого MediaGet с официального сайта имеют цифровую подпись «Media Get LLC» от COMODO.

Побайтовое сравнение показывает, что различие между установочными файлами затрагивают не исполняемую часть, а манифест. Однако, без цифровой подписи с разными контрольными суммами для файлов, категория Trusted будет недоступной. Для того, чтобы продукт попал в категорию Trusted необходимо, чтобы исполнимый файл был подписан действительной цифровой подписью, а все дополнительные динамические данные нужно дописывать в конец файла, чтобы не разрушить криптоконтейнер.

Рисунок 2. Побайтовое сравнение двух установочных файлов MediaGet

Результаты проверки скачанных установочных файлов MediaGet:

Рисунок 3. Цифровая подпись от COMODO программных модулей MediaGet

На сайте mediaget.com имеется значок «Kaspersky trusted», щелчок на который приводит к запросу белого списка с ресурсов «Лаборатории Касперского» по одной, статичной MD5 хеш-сумме.

Рисунок 4. Кнопка Kaspersky trusted на страничке загрузки программы MediaGet

Рисунок 5. Данные о статусе файла с заданной, статичной хеш-суммой из публичной базы компании «Лаборатория Касперского», получаемый при нажатии на кнопку «Kaspersky trusted»

Однако, закачанный с mediaget.com исполняемый модуль имеет при этом совсем иную MD5 хеш-сумму. По данным облачного сервиса Kaspersky Security Network, установочный файл не является «Доверенным», но не является и «Недоверенным». Отсутствие новых дистрибутивов MediaGet в списке Trusted сервиса Kaspersky Network Security обусловлено отсутствием действительной цифровой подписи.

По комментариям разработчика в сеть постоянно выкладываются новые версии MediaGet, в то время как проверка «Лаборатории Касперского» занимает определенное время. Таким образом, значок «Kaspersky trusted» всегда указывает на чистоту уже устаревшей версии.

Рисунок 6. Репутация установочного файла MediaGet по базе Kaspersky Security Network (KSN)

Установка MediaGet

При установке торрент-клиента MediaGet происходит следующее:

1. Создаются два каталога на жёстком диске: %Local AppData%MediaGet2 и %Local AppData%Media Get LLC. В первой папке хранятся программные файлы, во второй — данные.

• в папке %Local AppData%MediaGet2:

• %Local AppData%MediaGet2imageformats:

• %Local AppData%MediaGet2FireFox:

• %Local AppData%MediaGet2FireFoxChrome:

• %Local AppData%MediaGet2FireFoxChromecontent:

• %Local AppData%MediaGet2FireFoxcomponents:

1. Лицензионное соглашение EULA в процессе установки не демонстрируется в отдельном окне установщика продукта, как это делается в серьёзных продуктах. Для этого нужно кликнуть по специальной ссылке. Кроме этого, с лицензионным соглашением можно ознакомиться, устанавливая MediaGet только с сайта производителя;

Рисунок 7. Предложение об ознакомлении с лицензионным соглашением MediaGet

1. Автозагрузка MediaGet обеспечивается регистрацией значения «MediaGet2» в ключе реестра [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
2. При запуске установочного файла MediaGet предлагается установить тулбар Mail.ru посредством соответствующего чекбокса, по умолчанию включённый. При выключении данного чекбокса тулбар Mail.ru не устанавливается.
3. При установке MediaGet без ведома пользователя, происходит регистрация MediaGet в системе в качестве торрент-клиента по умолчанию, даже в случае присутствия на компьютере иного торрент-клиента, а также запись в автозагрузку. Установка MediaGet как торрент-клиента по умолчанию посредством включения соответствующего чекбокса в режиме Custom. Однако подобная настройка присутствует в установочном файле, скачанным с сайта mediaget.com. В дистрибутиве, скачанного с партнёрского сайта RuTor.org подобная настройка обнаружена не была.

Рисунок 8. Установка торрент-клиента MediaGet основным торрент-клиентом по умолчанию

Рисунок 9. Программа MediaGet устанавливает себя в качестве торрент-клиента по умолчанию, изменяя ассоциации .torrent файлов в реестре

Также, в процессе установки инсталлятор MediaGet запускает сторонний патч для анализа файла tcpip.sys и, если он не модифицирован и версия Windows старше 6.1 (Windows 7), программа при старте выводит предупреждение о необходимости скачать тот же самый патч, но уже самостоятельно и запустить его для увеличения количества одновременных соединений.

Патч представляет собой не что иное, как программу Half-open limit fix, предназначенную для изменения максимального количества одновременных полуоткрытых исходящих TCP соединений (half-open connections или connection attempts) в системном файле tcpip.sys.

Впервые данное ограничение было введено компанией Microsoft в SP2 для Windows XP и присутствует в последующих версиях Windows. Это было сделано в попытке замедлить распространение вирусов с зараженного компьютера, а также ограничить возможности участия компьютера в DoS-атаках (от англ. Denial of Service, отказ в обслуживании).

Ограничение заключается в том, что компьютеру не разрешается иметь более 10 одновременных полуоткрытых исходящих соединений. При достижении предела новые попытки подключений ставятся в очередь. Подробное описание патча можно найти здесь.

Рисунок 10. Начало закачки файла по протоколу BitTorrent, всплывающее окно-предупреждение об ограничении на количество соединений

Перечисленные действия следует трактовать как спорные с точки зрения распространения программного обеспечения. Однако сам производитель считает такую модель распространения вполне оправданной, так как основная цель в данном случае – это скачивать торрент-файлы в один клик. После запуска установщика MediaGet, скачанного из раздачи, сразу начинается закачка нужного торрента. Чтобы неопытный пользователь не путал какой ехе-файл к какой раздаче относится, имя установщика скачанного из раздачи носит такое же имя, как и сам торрент-файл.

Работа MediaGet

При установке MediaGet были выявлены обращения к файлам настроек браузеров (operaprefs.ini, prefs.js), хотя для прямого исполнения означенного в MediaGet функционала это не является необходимым.

В ходе дальнейшего исследования было выяснено, что MediaGet получает стартовую страницу браузера, установленного в системе по умолчанию, а затем анализирует их на соответствие следующим строкам:

Сама стартовая страница браузера не меняется.

Сразу после установки MediaGet добавляет сведения о тех данных, которые пользователь хотел скачать, в свой внутренний список торрентов и производит скачивание.

В случае отказа от предложения скачать патч выводится снова при каждом последующем запуске клиента MediaGet.

Важно отметить, что поведения, свойственного опасному (вредоносному) программному обеспечению, как то: шпионской активности (отправка каких-либо сведений на удалённый сервер), установки вредоносных программ третьих сторон, установки руткитов, работы в качестве кейлоггера, трояна или червя, заражения исполняемых файлов, атак на целостность данных либо системы в целом, не обнаружено.

Таким образом, торрент-клиент MediaGet нельзя считать вредоносной программой, как не соответствующую перечисленным выше критериям.

Деинсталляция MediaGet

При деинсталляции MediaGet возвращает старые ассоциации с торрент-клиентом, однако, оставляет на жёстком диске (%Local AppData%MediaGet2) и в реестре (например, в HKEY_CLASSES_ROOTmediagettorrentfile) часть тех данных, которые сама туда прописала.

Выводы

На основании проведённого исследования и полученных результатов можно сделать вывод, что торрент-клиент MediaGet нельзя считать вредоносной программой. Однако, по ряду подозрительных признаков, ее поведение может трактоваться некоторыми антивирусными производителями как потенциально нежелательное.

Подозрительные признаки MediaGet по состоянию на момент обращения к Anti-Malware.ru (апрель 2012 года):

1. Недобросовестный метод увеличения числа установок своего программного обеспечения — когда рядом с запрашиваемым целевым .torrent-файла пользователю предлагается установочный файл MediaGet. Пользователь, в большинстве своём случаев, не разбирается в том, какой метод загрузки для него более предпочтительный. Поэтому, существует вероятность того, что ему будет установлено ПО, в котором он на самом деле не нуждается.
2. Отсутствие цифровой подписи исполняемых файлов MediaGet, скачиваемых с торрентов, по причинам описанным выше. По сообщению производителя — устранено в августе 2012.
3. Установка стороннего патча, не имеющего цифровой подписи для модификации системного файла tcpip.sys.
   По сообщению производителя — устранено в августе 2012.
4. MediaGet проверяет стартовую страницу браузера без функциональной необходимости. Но подобное поведение программы носит подозрительный характер.По словам разработчика это сделано для того, чтобы лишний раз не предлагать пользователю тулбар Mail.ru, если он у него уже установлен.
5. Установка MediaGet как торрент-клиента по умолчанию посредством включения соответствующего чекбокса в режиме Custom. Однако подобная настройка присутствует в установочном файле, скачанным с сайта mediaget.com. В дистрибутиве, скачанного с партнёрского сайта RuTor.org подобной настройки нет. По сообщению производителя — устранено в августе 2012.

В целом программа MediaGet производит все заявленные в своём функционале действия. Ошибка установки, при которой переключение чекбокса при отказе от установки тулбара Mail.ru ни на что не влияло, в исследованных нами версиях не обнаружена.

Поведение, свойственное опасному (вредоносному) для пользователей программному обеспечению, как то: шпионской активности (отправка каких-либо сведений на удалённый сервер), установки вредоносных программ третьих сторон, установки руткитов, работы в качестве кейлоггера, трояна или червя, заражения исполняемых файлов либо атак на целостность данных, либо системы в целом, не обнаружено.

Примечание: По состоянию на момент публикации данного материала исправление недочётов, указанных производителем как устранённых, подтверждается. При этом дополнительный функционал, добавленный производителем MediaGet в новые версии, начиная с апреля 2012 года, в данном документе не рассматривался, анализу не подвергался, и информационно-аналитический портал Anti-Malware не несёт ответственности за возможные риски, связанные с ним.

Подписывайтесь на канал «Anti-Malware» в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Источник: www.anti-malware.ru