最近,我们发现一个相对流行的“反恶意软件”产品,名为“Yet Another Cleaner”或简称YAC,一直声称是隶属于必威平台APP除了使用我们的许多检测名称作为自己的名称之外。我们深入调查了他们的行动,发现了一些非常惊人和丑陋的事情。

好人

《又一个清洁工》由Elex Do Brasil参与者有限公司科技公司. 他们位于巴西,拥有一系列广泛的产品,包括速度测试、闹钟、IP查找,当然还有YAC。

YAC本身是一个相当圆滑的程序,速度也非常快。它似乎有能力保护用户免受恶意网站的攻击,清理系统上的垃圾文件,卸载应用程序,甚至阻止广告!

事实是,虽然他们可能声称YAC可以做到上述所有的事情,但产品的实际性能是一个开放的问题。总之,我们得到了一个小道消息巴西电力公司股份有限公司。作为Malwarebytes的附属公司,因为他们建议加入他们必威平台APP的使用条款政策.

TermsOfUse

明确地说,Malwareb必威平台APPytes与Elex没有任何关联。你认为卡巴斯基、BitDefender、Avast、PCTools、iS3、Enigma软件、超级间谍软件和SurfRight也是附属公司吗?

所以,在发现了这一点有趣的信息后,我们决定研究一下他们正在推广的反恶意软件。

丑陋

我们研究了YAC,首先注意到他们的用户界面与我们的相似之处,甚至可能是其他安全厂商的工具。

此幻灯片放映需要JavaScript。

当然,这并不一定是坏事,有时开发人员会从其他产品中获得灵感,尽管这确实促使我们深入研究。我们决定检查他们的名字。

在这一点上,我们开始看到更多的相似之处,比正常情况多一点。我们扫描了同一组文件必威平台APP恶意软件反恶意软件(MBAM)和YAC来查看哪个弹出窗口以及使用了什么名称。

此幻灯片放映需要JavaScript。

一开始,我们就知道,由于YAC只检测到MBAM所做的部分文件,因此存在一些显著的差异。我们决定研究个体的检测结果。

代理

我们发现的第一个词是"特工"的意思是"特洛伊特工"这不是什么大问题,因为它是一个非常常见的名称,用来代替实际的恶意软件名称,当你知道文件是恶意的,但不确定它属于那个时候的确切家族。

点击机器人

下一个是“ClickBot”,这是一个并非人人都使用的名称,但有足够多的供应商使用它,使它在我们的书中更加突出。

FakeMS

最后,发现了“冒牌货”,我们真的很怀疑。该术语不属于Malwarebytes,但除Malwarebytes外,其他产品很少使用该名称。显然,这并不是任何关于盗窃行为的确凿证据必威平台APP,但我们对如何深入调查有了一些想法。

第一个检查是通过一种隐藏检测方法,我们使用该方法来查找窃取我们的定义数据库并将其作为自己的数据库使用的应用程序。我们创建了一个特殊的注册表项,它与任何进程无关,无论是恶意的还是其他的,当它标记时,我们知道我们的财产被盗了。关键是:

HKLM \ Software \ ANV7845SFT

注意:我们有很多其他方法可以识别其他产品的数据库,所以放心我们并不只是释放我们唯一的方法。

我们设置了陷阱密钥并进行了扫描,找到了特殊的注册表密钥。

特拉普基

为了让这些家伙从怀疑中受益,我们将通过创建一个全新的伪造恶意软件检测来深入研究。我们构建了一个自定义程序,它只显示一个消息框。看起来是这样的:

Messagebox2

然后我们发现了这个假文件,我们给它起了个特别的名字,甚至拼错了单词" Spywera "和" theft "你可以你自己看看这个文件,我们将其上载到VirusTotal。

MBAMCatch

截至下午4点,我们推出了新的检测。2015年3月1日。大约两个小时后,YAC有一个可用的更新。

Yac_db_版本

使用他们最新的定义数据库更新,我们对我们的假消息框恶意软件进行了扫描,发现他们不仅检测到我们的假恶意软件,而且使用了相同的、不专业的、拼写错误的检测名称。

yac_theivingbasterds_detection.

好吧,看来"另一个清洁工"直接窃取了我们的检测数据库然后用他们自己的方式修改它。基于他们只检测到我们用YAC和MBAM扫描的大量恶意软件中的很小一部分的事实,他们的扫描器显然使用了Malwarebytes反恶意软件的精简版。必威平台APP我们也知道这一点,因为我们实际上分析了他们运行中的软件的内存快照。啧啧啧啧。

这之所以如此重要,是因为我们的引擎、界面、品牌名称和个人努力,以及我们内部创建的定义数据库,我们已经以Malwarebytes Anti-Malware free & Premium的形式向世界免费提供了它。必威平台APP这不仅是对Malwarebytes的一种侮辱,也是对客必威平台APP户的一种侮辱,窃取别人的作品,并对已经免费的产品的拙劣模仿收费。

有了证据,我们已经发送了巴西电力公司股份有限公司。我们法律部门的一封信,要求他们停止使用赃物。我们将随时向您通报最新的发展情况。

更新:

本帖上线后,技术认证公司opswat.开始调查我们对YAC的索赔,并得出了与我们相同的结论。

OPSWAT提供安全认证开发人员,向消费者保证说产品已经测试和第三方软件的互操作性和可管理性,用外行人的这意味着他们检查应用程序是否会打破或系统崩溃,因为与其他应用程序不兼容。

今天OPSWAT发表了一篇博客文章这描述了他们对调查我们的YAC索赔窃取我们定义数据库的兴趣,并在自己的调查之后决定将其认证从YAC中提取。

从Malwarebytes获取数据并进行一些内部分析后,我们必威平台APP的研发团队能够验证Malwarebytes的索赔。因此,我们做出了决定从程序中删除现有的opswat认证。另一个清洁服务器4.x将不再在Windows AntiSpyware下认证铜牌。

他们也问过巴西电力公司股份有限公司。停止在其网站和产品上使用OPSWAT认证徽章。此外:

我们已经终止了与Elex Technologies必威客服app的合作关系,并计划继续我们的政策,这种商业行为将不会被容忍。

干得好,OPSWAT!谢谢你的信仰!

感谢你的阅读!