Борьба с торрентами идет уже так давно, что любая попытка предупредить о какой-то угрозе с их стороны наталкивается на стену недоверия: опять, дескать, правообладатели придумывают байки. Нет, не байки. Ну ладно, они тоже, но не всегда. Разберем одну такую «не байку» на примере условного Андрея, которому позарез потребовалось скачать что-то с торрент-трекера.
Если Андрей использует торренты чтобы сэкономить, то люди с более низкой социальной ответственностью пользуются ими для заработка на Андрее. Например, с помощью схемы, которую мы недавно выявили на известном трекере ThePirateBay, где злоумышленники создали множество клонов раздач взломанного ПО, заменив в них исходные файлы своими, зловредными.
Как работает Pirate Matryoshka: торрент-зловред с Pirate Bay
Когда Андрей запускает файл, подмененный злоумышленниками, инсталлятор первым делом показывает ему окно авторизации на трекере. Если наш герой принимает это за чистую монету и вводит свои логин и пароль, они отправляются прямиком к авторам вредоноса – и теперь уже аккаунт Андрея будет использоваться для создания фейковых раздач (таким образом, выявить подделку, основываясь только на возрасте учетной записи, невозможно).
Но источник дохода злоумышленников вовсе не в угоне учетных записей – их заработок строится на участии в партнерских программах, где деньги выплачиваются за каждый факт установки на компьютер жертвы определенных приложений. Поэтому вместе с нужным софтом на компьютер Андрея установится дополнительное ПО. Много дополнительного ПО.
Несмотря на то, что оно не всегда вредоносное (по нашим подсчетам, настоящие зловреды встречаются в каждом пятом случае), пользователю от этого не легче. Отныне Андрею придется бороться с полчищами приложений-оптимизаторов, кишащих рекламой, тулбарами в браузерах, меняющими домашнюю страницу и добавляющими свои баннеры на каждый сайт, а если «повезет», то и с троянами.
Надо сказать, что если бы Андрей запустил подобный файл, скачанный откуда-то еще, у него был бы шанс: несмотря на нахождение в «серой зоне», авторы инсталляторов партнёрских программ все-таки оставляют пользователю возможность отказаться от установки лишних приложений. Правда, такую опцию нужно еще постараться найти:
Но в случае с заразой с ThePirateBay, которую мы назвали PirateMatryoshka за некоторые особенности работы, такой фокус не пройдет: перед началом установки зловред запускает автокликеры — модули, которые автоматически проставят галочки в нужных окнах, не давая жертве отказаться от установки софта.
Заключение
Если вы качаете что-либо с торрентов, будьте готовы встретить там зловредов. Особенно это касается программного обеспечения, где от исполняемых файлов точно никуда не деться.
Впрочем, было бы наивно полагать, что, не связываясь с торрентами и не используя взломанный софт, вы наверняка избежите Андреевой участи. «Партнерский инсталлятор» можно встретить где угодно – и надо либо бояться всех исполняемых файлов, скачанных из Интернета, как огня, либо иметь наготове надежный антивирус.
