Zaitsev Oleg писал(а):
Я посмотрел программу, сохранение ее исходников в страшном секрете это конечно интересно - такие семплы есть в любой книжке по Delphi Ничего опасного программа эта не делает, шлет почту куда сказано, но:
1. Это нестандартный мейлер, запакованный непонятно зачем кучей всего
2. У него неясно зачем иконка от антивируса AVP. Столкнувшись с таким "чудом" бдительные юзеры будут слать данный мейлер в ЛК для проверки, в чем дело (иконка популярного бренда в непонятной программе, да еще запакованной и работающей с сетью с точки зрения юзера весьма подозрительна)
3. Программа выясняет адрес ya.ru перед отправкой почты, хотя он ей реально не нужен (видимо разновидность контроля, есть ли Инет), подозрительно настроенный юзер будет отправлять почту на mail.ru, firewall сообщит о определении адреса ya.ru - пользователь напугается и решит, что это троян
4. Во многих корпоративных сетях строжайше запрещено применять любые посторонние мейлеры и средства передачи данных/файлов, кроме стандартных или установленных админом (у меня в сети это прописано отдельным пунктом в корпоративной политике, и за применение любого нештатного мейлера юзер может крепко получить). А тут еще в почтовом обмене в HELO программа передает нестандартные данные в начале обмена (HELO HiAsm.Mail), на это могут среагировать IDS ... что ускорит получение пользователем влоб от админов
Детект подобного ПО связан в основном именно с п.п. 4 - расширения баз в области RiskTool.Win32 предназначено в основном для админов, чтобы обнаруживать нестандартное ПО на машинах юзеров (RiskTool.Win32 - это не вирус и не троян !!) - как описано у меня в п.п. 4. В этом разделе есть масса мелких программ - ломалки и подсматривалки паролей, средства рассылки почты, мелкие прокси и FTP/WEB сервера и т.п. - т.е. софт не опасный, но мягко говоря неуместный на ПК бухгалтера в конторе. Меня лично и многих админов подобные расширенные базы выручают - проверяется некий ПК, и тут детект RiskTool - значит сразу "пишу объяснительную в службу безопасности - что это такое, зачем поставил, гда взял ..." Если внимательно посмотреть на антивирус AVP, то детект RiskTool там нужно включить вручную и даже в GUI сказано "Я согласен, что некоторые легальные программы могут быть классифицированы как потенциально опасные, и хочу, чтобы они воспринимались как угроза на этом компьютере"
небольшие комментарии для тех, кто не так хорошо знаком с вкладной Internet:
Это нестандартный мейлер, запакованный непонятно зачем кучей всего
подозреваю, что одним из упаковщиков был встроенный в hiasm упаковщик UPX - эта программа предназначена для сжатия исполняемых файлов и их распаковке на лету при запуске. Эта технология действительно применяется многими вирусами и троянами для уменьшения своего кода и для обхода "дубовых" антивирусов, которые не способны фальсифицировать запуск программы для ее анализа. Что автор отзыва имел ввиду под "кучей всего" остается не ясно - тут надо видеть саму программу.
Программа выясняет адрес ya.ru перед отправкой почты
это действительно делает наш элемент с именем NET, который наличие интернета на компьютере проверяет по возможности получения IP адреса для хоста ya.ru(этот способ универсальным не является, но срабатывает в большинстве случаев). Адрес был взят как наиболее полулярный в интеренете и понятный каждому.
А тут еще в почтовом обмене в HELO программа передает нестандартные данные в начале обмена (HELO HiAsm.Mail)
SMTP действительно передает строку HiAsm.Mail в качестве приветствия для сервера. Однако рекомендованное по спецификации имя, которое должен отправлять клиент это полное доменное имя компьютера. Но никто не запрещает отправлять и произвольную строку, являющуюся именем клиента отправки почтовых сообщений. Но раз уж это создает проблемы с антивирусами, то для элемента SMTP отправка HELO была переделана в соответствие со стандартами.
PS: ввиду всего, выше сказанного хотелось бы порекомендовать не использовать для распространения своих схем встроенное сжатие кода и производить проверку программ на наличие потенциально опасного кода. Иногда проверку удается пройти банальной перестановкой элементов.