µTorrent 2.2.1 vs. ESET a detekce PUA (smyšlená hrozba)

Zde získáte informace o programu µTorrent (vydané verze, nové funkce, zjištěné problémy).
Zde také informace a volná diskuze k různým tématům (např. počasí, yr.no a filmové novinky).

Moderátor: emc

Zamčeno
Uživatelský avatar
emc
Administrátor
Příspěvky: 4999
Registrován: 27.únor 2006, 20:22

µTorrent 2.2.1 vs. ESET a detekce PUA (smyšlená hrozba)

Příspěvek od emc »

Shrnutí kauzy ESET a detekce PUA

Pocit velké nasranosti, frustrace a blížící se rezignace...

Obrázek

Inu jak začít?
Mnoho uživatelů používá uTorrent 2.2.1 a žádný bezpečnostní problém s ním nemá. Mnoho uživatelů používá ESET a považuje jej za špičku svého oboru a věří mu. Já do pondělí 15.10.2018 taky. To jsem byl ubezpečen, že to ESET myslí vážně... Od soboty 13.10.2018 mě začali uživatelé uTorrent 2.2.1 bombardovat, že jim ho ESET blokuje s tím, že obsahuje potencionálně nechtěný program / PUA, konkrétně Toolbar.Conduit.AX / uTorrent.ourtoolbar.com / OpenCandy.

Jak to tedy je? uTorrent je produktem firmy BitTorrent Inc., nikoli mým. Já jsem překladatelem do češtiny. Provozuji také web české podpory. Poté, co BitTorrent Inc. koupil klienta uTorrent od původního autora, jímž byl švédský programátor Ludvig Strigues, bylo jasné, že se dříve či později stane komerčním produktem. V průběhu let jsme se setkali s různým opt-out adware.

Co je to opt-out adware? V případě uTorrent to byla mimo jiné např. vyhledávací lišta do internetového prohlížeče. Opt-out znamená, že během instalace má uživatel možnost zrušením zaškrtnutí políčka instalaci tohoto adware odmítnout. Adware (pokud tedy není agresivní) pomáhá financovat vývoj softwaru, který se vám tak dostává zdarma. Tento způsob licencování či distribuce využívá mnoho bezplatných programů. I třeba Avast nabízí instalaci Google Chrome. Avast je tedy také potencionálně nechtěný program? Ve verzi 3.4.2.38913 udělal BitTorrent Inc. podraz na uživatele, kdy se s uTorrent bez vědomí uživatelů nainstaloval miner EpicScale a tajně těžil LiteCoin (cryptoměna jako BitCoin).

Program uTorrent se dá spouštět i pomocí voleb z příkazové řádky, viz uživatelský manuál. Mimo jiné jsou to /NOCANDY a /NOINSTALL. Prvním z nich zabráníte instalaci adware. Druhým zabráníte spuštění integrovaného instalátoru. V květnu 2013 jsem se rozhodl, že samotný soubor programu "utorrent.exe" zabalím spolu se souborem překladu "utorrent.lng" a některými dalšími pomocnými soubory do vlastního instalátoru. Při instalaci dojde k rozbalení do určené složky a prvotnímu spuštění programu uTorrent s parametrem /NOINSTALL. Dále díky načtenému přiloženému souboru konfigurace "settings.dat" bude deaktivováno zobrazování reklam v uTorrent. Takže žádný adware ani reklamy.

Během let jsem se setkal s mnoha falešnými detekcemi ze strany antivirových firem. Kaspersky Lab, G Data Service, MicroWorld Software Services, Symantec, Bitdefender, 360 Total Security, znovu Symantec, znovu Bitdefender, AegisLab, ClamAV, znovu Bitdefender. Všem stačilo jednou napsat, uTorrent 2.2.1 (včetně mé poslední modifikace) proklepli a dali na whitelist. Pak bylo dlouho ticho. Až do teď, kdy začal řádit ESET...

Jak už jsem se zmiňoval, nejsem autorem uTorrent. Za ta léta (od října 2005) tento program známe. Víme, že nejpovedenější je verze 2.2.1 (poslední build 25534 je ze srpna 2011) a že s 3.x jsou problémy. Jenže verzi 2.2.1 skočila podpora a dál není vyvíjena. Část její funkcionality navázané na webové služby skončila. Proto jsem se rozhodl hexaeditorem nahradit nefunkční webové adresy vlastními. Popis změn je rozepsán v samostatném příspěvku. Aby se dala ověřit autentičnost české modifikace, opatřil jsem ji vlastním self-signed certifikátem. Poslední změna "utorrent.exe" proběhla 22. února 2015 22:30:00 (časové razítko). Krátce po vydání verze 3.0 (asi začátek roku 2012) byla postupně ukončena podpora verze 2.2.1. Mimo jiné to znamenalo i pozdější znefunkčnění vestavěných odkazů na instalaci opt-out adware. Tím pádem od tohoto okamžiku se stává uTorrent 2.2.1 zcela bezpečnou aplikací bez adware.

Rozsáhlejší úvod už tedy máme za sebou. Pusťme se tedy do aktuálního problému, kterým je falešná hrozba detekovaná ESET antivirem. "Odborníci" z této antivirové laborky totiž v programu uTorrent 2.2.1 teprve po 7 letech od jejího vydání objevili v kódu obsažené odkazy na adware. Že jsou ty odkazy mnoho let mrtvé, si nenechají vymluvit. Argumentují nesmysly. První část kódu, kterou mi zaslali, obsahuje odkaz http://download.utorrent.com/offers/ut- ... 101222.exe, který končí na stránce 404. Na Twitter hodily další část zdrojového kódu programu. Tentokrát musím přiznat, že se opravdu jedná o "zákeřný, počítač devastující malware", přesněji čistý text psaný v HTML obsahující informace o možnosti instalace adware a dva odkazy na licenční podmínky / EULA http://uTorrentbar.ourtoolbar.com/EULA/ a na podmínky ochrany osobních údajů http://uTorrentbar.ourtoolbar.com/privacy/ . Kód zmiňuje také název aplikace OpenCandy. Nic z toho nepředstavuje hrozbu. Výše zmíněné antivirové laborky uTorrent řádně proklepli. Uživatelé za ta léta taky. Ale nyní tu máme hrozbu. Napíšete do ESETu jednou a čekáte, že tu falešnou detekci napraví. A ouha. Místo toho odpověď, že obsahuje nechtěnou aplikaci a že krom ESET to na VirusTotal také detekují takové věhlasné antiviry jako Cylance a Cyren. Napsal jsem jim tedy znovu, že uTorrent žádný škodlivý kód neobsahuje a ať raději srovnávají své detekce s Kaspersky, Symantec, Avast. Dostal jsem od Vojtěcha M. další email. Vítězoslavně je mi předhozena část kódu programu, obsahující text zmiňující Torrent Browser Bar a již zmíněný nefunkční odkaz na jeho stažení, dále pak text zmiňující tisíce volných aplikací - uTorrent skutečně měl obchod se zásuvnými aplikacemi, které si uživatel mohl vybírat a doplňovat do uTorrent, stejně jako vy si nyní přes Google Play přidáváte aplikace do svého Androida (uživatelé iPhone mají svůj Store). Takže další fundovaná odpověď. Bohužel ESET nyní jedná z pozice síly. Když se rozhodne cokoli (myšleno software) sejmout, tak ho hodí na černou listinu a nikdo s tím nic nenadělá. Mísilo se ve mně mnoho pocitů (bezmoc, neskutečná nasranost, frustrace). V podvečer jsem zašel s kamarádem na pivko a malé jídlo. Večer jsem se vrátil domů a dal se do dalšího sepisování argumentů. Místo oslovení mi mozek posouval hodně jadrné vulgarity. Přeložil jsem je do mírnější formy "banda debilních kokotů" a pokračoval v argumentaci, proč je to falešný poplach. Následoval údiv nad způsobem manipulace s takto drobně závadným softwarem (PUA není malware, který je nutno bez milosti hodit do karantény). Doplnil jsem upozornění, že s ESETem u svých zákazníků končím (marginální škoda pro kolos ESET, ale jde o můj princip). Celé jsem to zakončil "Běžte s tím do prdele! I s tím vaším přístupem...". Pak jsem si zkontroloval pravopis a začal váhat... Ne, rychle prásknout na "Odeslat", než si to rozmyslím, ať znají mé pocity... Dostal jsem kupodivu další email. Chybně jsem předpokládal, že to shodí ze stolu. A tak je tu další kolečko informací s odkazem na Twitter, kam mi poslali další úryvky kódu. Pavel M. zmínil zklamání nad mým způsobem komunikace i politování, že jsem následující den (po vychladnutí) opis toho mého nasraného emailu stáhl z webu, že by si o mě udělali další uživatelé obrázek. Rozhodl jsem se tedy, že celou tuto kauzu sepíšu a zveřejním včetně těch vulgarit. Omluvu za ně nežádá, i když, jak píše, byla by na místě. Já se za své činy ve většině případů neomlouvám. Protože jsou zpravidla činěny s rozmyslem i s vědomím, že za ně mohu nést následky.

Rezignoval jsem.
Včera jsem první část zaslaného závadového kódu (nefunkční odkaz na .exe) z programu vymazat. Dnes jsem zkoušel další zaslané části kódu. Jak jsem zmínil, nejsem programátor ani autor. Dělal jsem to v hexaeditoru co nejšetrněji. Jenže programu se tyhle brutální zásahy přestaly líbit a začal havarovat. Na web jsem vrátil verzi z 2015. Kašlu na to. Děj se vůle Boží... ESET nepřesvědčím... Takže kolegové, virtuální přátelé, už i já s vámi začínám souhlasit. Je čas opustit zastarávající uTorrent 2.2.1 a vrhnout své síly a další tisíce nikdy nezaplacených hodin práce novému projektu - klientovi qBittorrent. A ještě jedna věc, ESET u mě klesl na kvalitativní úroveň těch antivirů, se kterýma se srovnávají na VirusTotal. Nikoho do odchodu od ESET nenutím. Je to vaše volba. Já spokojeně používám Avast, od roku 2010 Free verzi, od roku 2014 Internet Security (i když taky měl svá slabší období). Doporučit mohu i Kaspersky, který jako jediný (alespoň já o jiném nevím) férově hlásá ve spodní části svého reklamního banneru: "Nic vám nezaručí úplnou chranu, buďte proto na internetu opatrní".
VirusTotal píše:Obrázek
ESET na Twitteru píše:Obrázek
download.utorrent.com/offers/ut-en-conduit-20101222.exe píše:Obrázek
uTorrentbar.ourtoolbar.com píše:Obrázek
Dočasným řešení je dát tuto nesmyslnou detekci uTorrent 2.2.1 do výjimek, emc píše:Obrázek
Uživatelský avatar
emc
Administrátor
Příspěvky: 4999
Registrován: 27.únor 2006, 20:22

Příspěvek od emc »

Já se tak lehce nevzdám, aneb poslední pokus ukecat ESET

Je pravda, že jsem psal o rezignaci a smíření se s osudem... Jenže se mnou je to težký. Prostě moje pravda a přesvědčení jsou nedotknutelné. A tak bojuji dál poslední rozhodující bitvu.

Jak už jsem psal dříve, nejsem autorem programu, ani programátorem. A tak jsem vzal hexaeditor a začal se zase vrtat v kódu programu. Prošel jsem si všechny viditelné URL a ty závadové (nahlášené ESETem), nebo do budoucna problematické jsem buď deaktivoval, nebo přehodil na utorrent.cz. Přišel jsem i na to, proč se už několik let při instalaci nezobrazuje nabídka k instalaci opt-out adware. A tak mně se už zase zobrazuje. :P

Zahrál jsem si na LAMU / BFU a pustil se do instalace uTorrent postaru bez českého instalátoru spuštěním samotného souboru utorrent.exe (složka %APPDATA%\uTorrent neexistuje). Protože tomu "nerozumím", tak ponechávám všechno zaškrtnuté. Postupně se proklikám až k opt-out instalaci µTorrent Browser Bar. Ale to už se mi tlačítko Další změnilo na Instalovat a tak neváhám a klikám. Co na tom, že jsem ponecháním těch tří voleb povolil změnu domovské stránky a instalaci další lišty do Internet Exploreru. Ale to už nabíhá program uTorrent a já mohu začít stahovat...

Tak a teď jdu omrknout škody. Otevírám Firefox, Chrome, Opera, Internet Explorer. Zajímavé. Nikde žádná lišta. Ani domovská stránka se mi nikde nezměnila... Takže resumé: Tento soubor utorrent.exe (identifikátory i seznam změn níže) je zcela bez adware! Jestli tohle ESET laborku nezlomí, pak už nic. :roll: Až si to proklepnou, pak dálkově natrvalo skryji ten neškodný zbytečně se zobrazující dialog opt-out adware.

Obrázek

Kód: Vybrat vše

95098
http://yogi.apps.bittorrent.com/track/?data=%s&ip=1
http://xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

9CBA2
<a href="http://uTorrentbar.ourtoolbar.com/EULA/">
<a href="http://about:blank">

9CC3A
<a href="http://uTorrentbar.ourtoolbar.com/privacy/">
<a href="http://about:blank">

9CE74
http://download.utorrent.com/offers/ut-en-conduit-20101222.exe
http://xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

9CECC
http://download.utorrent.com/offers/ut_conduit-20110119.bmp
http://xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

9E988
http://update.utorrent.com/installoffer.php
http://www.utorrent.cz/221/noinstallbar.dat
= obsahuje-li určitý řetězec, zabrání zobrazení opt-out dialogu adware

B9E1E
OpenCandy Offer
= neškodný řetězec, musí být ponechán, jinak program zhavaruje

Kód: Vybrat vše

Soubor:                    utorrent.exe
Velikost:                  415.680 Byte
Datum a čas dig. podpisu:  18. říjen 2018  22:00:00
SHA256:                    529da686c97570e72a7217d15415ff46862aa9fc822d49b452abadd92b23d723
Tak a teď mi řekněte, proč já to dělám. Stejně se od vás uživatelů žádného vděku nedočkám. Týden zkažené nálady a další hodiny práce. A v ESETu už jsem navždy zapsán minimálně jako hulvát... Máme tu půlnoc a já vypínám počítač s vidinou, že se tentokrát, místo pěti či čtyř hodin, vyspím šest...
Uživatelský avatar
emc
Administrátor
Příspěvky: 4999
Registrován: 27.únor 2006, 20:22

Příspěvek od emc »

A ještě budu trochu argumentovat

Plně bych souhlasil s tím, kdyby ESET i jiné antiviry zablokovali uTorrent či jiný program, který ve svém kódu obsahuje škodlivý adware. Pokud ale obsahuje opt-out dialog k volitelné instalaci jiného programu, který teprve po odsouhlasení uživatelem na pozadí stáhne (v případě uTorrent 2.2.1 je to 6 let nefunkční odkaz na stažení vyhledávací lišty), měl by primární program nechat žít, a když už chce něco řešit, pak na následně stahovaný program upozornit (a případně nabídnout nějakou akci), nebo, bude-li se stahovat malware, pak jeho stažení zablokovat.
Přehled adware v uTorrent. Co jsem zjistil, to jsem píše:1.0 až 1.6.1 - zcela čisté, autorem ludde
1.7 až 1.8.1 - zdají se být zcela čisté
1.8.2 až 2.0.3 - soubor je čistý, opt-out toolbar Ask případně Yandex byl stahován z dnes neexistující url
2.0.4 až 2.2.1 - soubor je čistý, opt-out toolbar Conduit byl stahován z dnes neexistující url, zmínka o OpenCandy
3.0 až 3.1.3 - soubor je čistý, opt-out toolbar Conduit byl stahován z dnes neexistující url, zmínka o OpenCandy
3.1.3 až 3.2.3 - součástí je adware Bundle
3.3 až 3.3.1 - součástí souboru je adware Adknow a Bundle
3.3.2 - součástí souboru je adware Adknow a OpenCandy
3.4.x - některé buildy byly dostupné ve dvou provedeních - čisté a s OpenCandy (stahoval Conduit nebo Spigot)
3.5.x - samotný klient je čistý, originální instalátor obsahuje Lavasoft

Při použití českého instalátoru nebylo dopusud zjištěno, že by se adware instaloval resp. jakkoli projevoval.
Pozn.: Děkuji uživatelce Anastazia za některé doplňující informace.
.
Uživatelský avatar
emc
Administrátor
Příspěvky: 4999
Registrován: 27.únor 2006, 20:22

Příspěvek od emc »

ESET jsem neukecal, přesto už je µTorrent 2.2.1 čistý

Laborka ESET mi vzkázala prostřednictvím české podpory, že došlo pouze k přepsání části řetězců v programu, ale hrozba je stále detekována. Doslovné vyjádření: "Detekcia je urobena tak, ze ked subor dostatocne precisti, prestane sa detegovat. Stale v subore vidno retazce ako Conduit a OpenCandy."

Ano, v programu je část kódu, která se stará o stažení adware z webu. Tuto část kódu jsem skutečně v programu ponechal, protože nejsem autorem ani programátorem a nedovedu ji bezpečně odstranit. Co jsem udělal, je bezpečná úprava, odstranění odkazů, ze kterých dříve (nyní jsou mrtvé) docházelo ke stažení škodlivého adware. Takže i kdyby došlo k reaktivaci původních souborů na webu, díky zrušení odkazů se nemá co odkud stáhnout. Ale to už se opakuji... V ESET myslí jen na shodu jedniček a nul v části kódu bez jakýchkoli dalších souvislostí... Usoudil jsem, že než ukecat laborku ESET je snazší naházet hrách na zeď a porazit v boji větrné mlýny...

Podíval jsem se pomocí Sněhuláka do kódu uTorrent. Vzal opět hexaeditor a provedl "Texaský masakr motorovou pilou" (film jsem k dnešnímu dni neviděl). Brutálně jsem přepsal nulami 4 kB kódu. Projel jsem to antivirem a světe div se, bez pozitivní detekce. Prohnal jsem to i přes VirusTotal. Zůstává jediná pozitivní detekce Unsafe/Nebezpečné od Cylance, který detekuje bůhví co. Pak jsem začal testovat funkčnost včetně originálního způsobu instalace. Nakonec jsem ho na dvě hodiny nasadil do ostrého provozu. Vypadá to, že je vše plně funkční (žádné zhavarování se nekonalo a sdílení probíhalo normálně).

ObrázekObrázek

Kód: Vybrat vše

Soubor:                    utorrent.exe
Velikost:                  414.656 Byte
Datum a čas dig. podpisu:  25. říjen 2018  20:00:00
SHA256:                    eb1f1ccf4e12aa66d2cdf9b1785a4b3be26ac3d4832a0387e82aaa1614b4706f
VirusTotal píše:Obrázek
Uživatelský avatar
emc
Administrátor
Příspěvky: 4999
Registrován: 27.únor 2006, 20:22

Příspěvek od emc »

ESET a detekce PUA ML/Augur

To by nebyl ESET, aby zas po roce něco nezkoušel detekovat. Zajímavé je, že na VirusTotal ESET mlčí.
Stejně tak ESET online scanner...

Někteří uživatelé mi však posílají hlášení o detekci PUA pomocí ML/Augur (Machine Learning by ESET, technologie Augur).
Takže buď nastavte ignorovat a vyloučit z detekce, nebo si s vaším dodavatelem antivirového řešení promluvte.
Mě chrání Avast Premium Security...

Možným řešením je také upgrade na µTorrent 3.1.3 , viz viewtopic.php?t=2354 .

Obrázek
Uživatelský avatar
emc
Administrátor
Příspěvky: 4999
Registrován: 27.únor 2006, 20:22

Příspěvek od emc »

ESET a detekce Win32/uTorrent.D

Tak dnes už pozitivní detekce jak na VirusTotal, tak i OnlineScanner.

Kód: Vybrat vše

Soubor:                    utorrent.exe
Verze:                     2.2.1 (25534)
Velikost:                  414.656 Byte
Datum a čas dig. podpisu:  25. říjen 2018  20:00:00
SHA256:                    eb1f1ccf4e12aa66d2cdf9b1785a4b3be26ac3d4832a0387e82aaa1614b4706f
ESET OnlineScanner píše:varianta Win32/uTorrent.D potenciálně nechtěná aplikace
Tohle je magořina jejich umělé inteligence. A nejen té umělé... A vy jim za tenhle sračkovej antivirus ještě platíte...
Hlavně, že se kasali, že po odstranění "závadového" obsahu detekce ustanou. Ano. Ale vydrželo jim to jen rok...

Kód: Vybrat vše

Soubor:                    utorrent.exe
Verze:                     3.1.3 (26837)
Velikost:                  740.288 Byte
Datum a čas dig. podpisu:  17. červen 2019  20:00:00
SHA256:                    2d8d5935f8cd22c113d6d263306dc7567b2c9bc74fabd290882d83b63518665a
ESET OnlineScanner píše:Neobjevili jsme žádný vir ani jinou havěť.
Tak schválně. Jak dlouho to tak zůstane, než si to ESET rozmyslí, a i tuto verzi odstaví?
Zamčeno