| Автор |
Сообщение |
Eastoop ®
Модератор Книг и Программ
Стаж: 15 лет 6 мес.
Сообщений: 27654
Ratio: 407.67
Поблагодарили: 149075
100%
|
AmanVPN: прекрасный подарок или отравленная конфета?
Не так давно ворвался в круг VPN клиентов такой интересный продукт, как AmanVPN. Нам предложили широчайшие возможности совершенно бесплатно. Программа разрабатывается международным коллективом достаточно интенсивно и нацелена на широкий круг использования. Но, как гласит народная мудрость, "Бесплатный сыр бывает только в мышеловке". Слабо верится в альтруизм и филантропию молодых и талантливых программистов, решивших подарить миру программу, которая сможет вытеснить с рынка целую когорту платных аналогов. Предлагаю начать исследование недокументированных функций этой программы. В связи с тем, что в программе отсутствуют даже намеки на какие-либо справочные материалы, а на сайте нет ни форума, ни вменяемой формы обратной связи, в этой теме также будут описываться приемы и особенности работы с программой. Также, очень надеюсь, на форуме найдутся специалисты, которые смогут рассмотреть программу вооруженным взглядом и осветить ее недокументированную сетевую активность. Наверняка у программы должна быть функция сбора каких-то данных для отправки разработчикам. Хочется надеяться, что через нее не будет происходить утечка конфиденциальной информации, но стоит рассчитывать на какую-то выгоду от программы для ее разработчиков и поэтому лучше быть наготове и во всеоружии, чтобы, при наличии телеметрии, отсечь таковую. Для затравки изложу то, что мне удалось узреть невооруженным взглядом. Установщик представляет собой банальный WinRar SFX архив, в котором содержится весь состав программы. При запуске установки используется режим временного каталога, то есть содержимое архива распаковывается в папку TEMP в профиле пользователя и оттуда уже начинается распихивание файлов по разным местам в системе. Основная масса копируется в папку c:\Program Files (x86)\aman\, но часть файлов оказывается в папке Windows. Это файлы AmanOnlineWT.exe и AmanUpdateLogLT.exe, второй запускается как служба, причем не удаляемая в процессе деинсталляции программы, первый, по всей видимости, должен обеспечивать какое-то дополнительное соединение. Может быть удален защитником Windows, как малварь. Как показала практика, программа прекрасно обходится без этих файлов. В ранних версиях программы эти 2 файла содержались в виде отдельно программного блока под названием wallpaper.
После установки программы распакованный временный каталог не удаляется и может использоваться для восстановления утраченных или удаленных пользователем компонентов. Программе для соединения требуется TAP адаптер. Без него она сможет соединиться с серверами. Разработчики частично позаботились о драйвере этого адаптера, но только для пользователей 64 разрядных систем. Владельцам 32 битных ОС придется самостоятельно искать, скачивать и устанавливать этот TAP адаптер.
Кстати, драйвер адаптера маркирован Tom VPN, возможно разработчики амана - выходцы из команды этого клиента. Но тут я могу сильно ошибаться.
После установки организуются три службы неясного назначения. Причем одна служба не поддержана фалом из состава программы. Возможно это заготовка и в следующей версии программы появится еще один файл неясного назначения.
Первое, что бросается в глаза после запуска программы, это замки на специальных серверах. При попытке выбора специального сервера появляется пояснение, что доступ к такому серверу возможен только путем обмена. Под обменом подразумевается публикация информации о программе в своем аккаунте на одной из двух площадок: Твиттер или Фейсбук. Пусть это не пугает. Программа не проверяет наличие публикаций и даже наличие аккаунтов. Достаточно нажать на один из значков, вам будет предложено уже в браузере зайти в соцсеть. Далее браузер можно просто закрыть. Специальные серверы после нажатия на значок автоматически разблокируются.
При наведении курсора на тип специального сервера или страны справа проявляется троеточие, нажатием на которое можно выбрать страну и сервер или сервер (в выбранной стране) и соединяться с конкретным сервером. Также можно выбрать опцию Разумный выбор, программа сама найдет для вас самый быстрый свободный сервер.
В настройках можно выбрать, для всех ли приложений будет использоваться туннель или для некоторых, тут же можно выбрать приложения, которые будут выходить в инет через туннель.
Сразу после скачивания свежеопубликованной версии программы наиболее подозрительные компоненты были проверены на вирустоал. Результаты анализа показали, что наиболее неоднозначным оказался файл AmanOnlineWT.exe, который сходу отдетектировался аж 28 антивирусами, но по классификации принадлежности к программе AmanVPN и потенциально нежелательного ПО. Остальные файлы детектировались только особо отмороженными псевдоантивирусами, использующими мало того, что чужие базы, но и не использующими вообще никакой эвристики.
Ссылки на результат сознательно не даю, потому что программа обновляется часто и мои ссылки через несколько дней потеряют актуальность. Но развитие детектов во времени показывает, что детектирование у большинства антивирусов идет по принципу толпы: "кто-то нашел что-то, значит и я помечу файл, как неблагонадежный". Поэтому вирустоталу тоже нельзя верить безоговорочно. Вывод: Клиентом можно достаточно спокойно пользоваться, если или предварительно из установочного WinRar архива удалить два подозрительных файла: AmanOnlineWT.exe и AmanUpdateLogLT.exe, или после установки их вычистить из системы. В самом худшем случае не будет работать автоматическое обновление, возможно и поиск обновлений тоже откажется работать и программа будет признаваться вечно новой. Но тут тоже может быть плюс. Сохранится работоспособность старой версии без оглядки на выход новой версии. Желательно после установки программы очистить временную папку от распакованного установочного пакета. P.S. Это мой личный вывод не претендующий на абсолютную истину и никому не навязываемый. |
|
|
 |
starfox521
Стаж: 12 лет
Сообщений: 747
Ratio: 16.102
62.6%
Откуда: Орел
|
Andrey_Vladimirovich писал(а):  | Eastoop, зачем исследовать работу программы, если многие антивирусы ругаются на её дистрибутив? Современный продукт не должен иметь такие результаты на VirusTotal, если разработчикам не наплевать на своих клиентов. И кстати, все эксперименты необходимо проводить на виртуальной машине (зачем загаживать железный ПК и рисковать?). |
Антивирусы тоже пишут конкретные разработчики. Считать их самыми безгрешными? А что же тогда лицензионный Avast (успел купить на 2 года в прошлом году... сожалею что отечественный "Агнитум" прекратил свое существование) считает Download Master (dmaster.exe) вирусом ? А Касперский и ДокВэб нет... Так что параноя у антивирусов ! Пробовал ставить на W10LTSCх64 от монкруса (Ксеон на LGA1156, 24 Гд ОЗУ, Asus H7P55) - тормозит жутко. Снес. Может у меня руки кривые... ЗЫ: здесь обсуждают конкретный AmanVPN. Эх... а где же найти беспроблемный VPN (МТС сдури-двадцать заблокировал vk.com, а вы говорите торренты, видео)? |
|
|
|
|
Andrey_Vladimirovich
Стаж: 13 лет 7 мес.
Сообщений: 229
Ratio: 54.751
Раздал: 55.26 TB
100%
Откуда: СПб
|
| starfox521 писал(а): | | Andrey_Vladimirovich писал(а): | Eastoop, зачем исследовать работу программы, если многие антивирусы ругаются на её дистрибутив? Современный продукт не должен иметь такие результаты на VirusTotal, если разработчикам не наплевать на своих клиентов. И кстати, все эксперименты необходимо проводить на виртуальной машине (зачем загаживать железный ПК и рисковать?). |
Антивирусы тоже пишут конкретные разработчики. Считать их самыми безгрешными? А что же тогда лицензионный Avast (успел купить на 2 года в прошлом году... сожалею что отечественный "Агнитум" прекратил свое существование) считает Download Master (dmaster.exe) вирусом ? А Касперский и ДокВэб нет... Так что параноя у антивирусов ! Пробовал ставить на W10LTSCх64 от монкруса (Ксеон на LGA1156, 24 Гд ОЗУ, Asus H7P55) - тормозит жутко. Снес. Может у меня руки кривые... ЗЫ: здесь обсуждают конкретный AmanVPN. Эх... а где же найти беспроблемный VPN (МТС сдури-двадцать заблокировал vk.com, а вы говорите торренты, видео)? |
Ситуация с антивирусами решается очень просто. Напишите самому доверяемому вами (а лучше тому, которым сами пользуетесь) и спросите, почему их продукт определяет заразу в данной программе и не является ли это ложным срабатыванием. Вам слабо это сделать? Если да, давайте я напишу Касперычу (у меня его лицензия). |
|
|
|
|
Eastoop ®
Модератор Книг и Программ
Стаж: 15 лет 6 мес.
Сообщений: 27654
Ratio: 407.67
Поблагодарили: 149075
100%
|
Andrey_Vladimirovich
Напишите, а потом, плз, опубликуйте здесь их ответ. Возможно, они внесут хоть какую-то ясность в этот вопрос.
P.S. Только, боюсь, вам не предоставят адекватного объективного ответа, обойдутся общими фразами. |
|
|
|
|
abozoff
Стаж: 14 лет 6 мес.
Сообщений: 261
Ratio: 8.895
Раздал: 25.95 TB
100%
|
| CheBuRussia писал(а): | "AmanOnlineWT.exe и AmanUpdateLogLT.exe" Я человек простой - ценной информацией не располагаю, порочащих кого либо файлов у меня на компе нет.  |
вот тут я бы не был так уверен. кто мешает вместе с иероглифами запихнуть какое-нибудь ср в system32?  я бы снес и переустановил от греха |
_________________
все слетело. чистый винт - чистая совесть
|
|
|
|
Andrey_Vladimirovich
Стаж: 13 лет 7 мес.
Сообщений: 229
Ratio: 54.751
Раздал: 55.26 TB
100%
Откуда: СПб
|
Eastoop, хотел написать через тех. поддержку, но обломался, там у них ограничение, не более 3 файлов максимум по 10 МБт каждый. Дистрибутив под Win весит 31,3 МБт и сжатие не помогает. Раньше у них была возможность послать через WebDAV, но сейчас, видимо, прикрыли. Пришлось написать через Kaspersky Threat Intelligence Portal. Когда ответят напишу. Если кому интересно, вот ссылка на анализ текущего дистрибутива под Win. P.S. 1. Почему вы не дали рекомендацию тестировать данный продукт на виртуальной машине? Ведь прекрасно понимаете, что особо оголтелые тут же запустят сиё творение на своём основном ПК. 2. У меня не раз так было, что я им писал предполагая ложное срабатывание и они с этим соглашались (а был и иной результат). Просто нужно обращаться, а не делать вид, что это бесполезно. |
|
|
|
|
starfox521
Стаж: 12 лет
Сообщений: 747
Ratio: 16.102
62.6%
Откуда: Орел
|
| Andrey_Vladimirovich писал(а): |
Ситуация с антивирусами решается очень просто. Напишите самому доверяемому вами (а лучше тому, которым сами пользуетесь) и спросите, почему их продукт определяет заразу в данной программе и не является ли это ложным срабатыванием. Вам слабо это сделать? Если да, давайте я напишу Касперычу (у меня его лицензия).
|
Писал. И на портал avast.com, и на avast.ru. И автору DM (сайт https://westbyte.com/dm/?source=dm1)."Аваст" упорно считает dmaster.exe вирусом и не хочет удалять его из глобального "вирус-листа" Касперского запускал с ихнего же диска восстановления, а DrWeb и так в наличии. Наши не подтверждают |
|
|
|
|
lantrat98
Стаж: 7 лет 6 мес.
Сообщений: 76
Ratio: 1.33
100%
|
| Bobbss писал(а): | Стоит AmanVPN 2.1.4
файлы AmanOnlineWT.exe и AmanUpdateLogLT.exe не найдены. |
Аналогично, AmanVPN 2.1.4 нет в установщике и нет в системе. |
|
|
|
|
FDRTTL
Стаж: 2 года 7 мес.
Сообщений: 82
Ratio: 0.396
Поблагодарили: 8
90.52%
|
коммент один умней другого))
по делу что? |
|
|
|
|
Eastoop ®
Модератор Книг и Программ
Стаж: 15 лет 6 мес.
Сообщений: 27654
Ratio: 407.67
Поблагодарили: 149075
100%
|
| lantrat98 писал(а): | | Bobbss писал(а): | Стоит AmanVPN 2.1.4
файлы AmanOnlineWT.exe и AmanUpdateLogLT.exe не найдены. |
Аналогично, AmanVPN 2.1.4 нет в установщике и нет в системе. |
В этой версии еще нет этих файлов. В следующей версии появляется дополнительный установщик wallpaper.exe, содержащий эти файлы. В версии 2.1.8 wallpaper.exe убрали и оставили только эти два файла в теле основной программы. Версия 2.1.4 значительно отличается по составу от последующих версий программы. Возможно, там еще не было неоднозначных добавок вообще или они прятались в других местах. Не исключаю в причастности клиента к майнингу или к чему-то в этом роде. Вот содержимое одного из конфигов QT: | Код: выделить все [project]
project_name=liuxing
process_name=liuxing.exe
title_name=流星游戏加速器
total_name=流星游戏加速器
task_name=LXSpeed
oss_path=https://hw-gn.oss-accelerate.aliyuncs.com/domain/lx4.txt
[driver]
driver_name=aA1bUVJqVA9cJDBYeAdwfklVaQBmWXJWbnkDDHspVx9aBR91JBg=
service_name=MXd3M241fRFrZ1EOeAdwfklVaQNmX3NXbnkDDHspVx9aBR91JBg=
key1=Un5AQFNxUQs4bygPP1QGXFhUTAdtOisDVD1hAwFmXAVSCnZHUX5jCXgHcH5JVWkAbFtyU2p5Awx7KVcfWgUfdSQY
key2=VTEHC1QMfAAADFULWVpFEWtYMR9oYCRCAjxjGVcFbh1TLl5TUTZCWj8maFlGa3sPbmx9QwBxbgRjR28HCg5uCxlpNWlzEQ==
key3=Wn9BSVN0VQ5pO3lTbw8AXlMMRlBpPSkFUW02V1ZhW1JaC3dOUXtnDGJAGhN/cRIAXQcAAQ5jRGYWH3NkWjRDB3Z8
domain_name=BWdrXlcLBgYAMlZZRmt7D25sfUMKc24BZ0dvBwoObgsZaTVpcxE=
[version]
show_version=4.0.1
update_version=401
|
|
|
|
|
|
SanLex
Стаж: 10 лет 1 мес.
Сообщений: 5500
Ratio: 569.553
Поблагодарили: 199946
100%
|
Eastoop ®Тему прочитал от и до. Спасибо за полный опыт и дополнительную информацию.  P.S. Лично не пользуюсь никакими VPN программами - факт.
Но было дело опробовать в прошлом месяце AmanVPN (чисто ради интереса)...
После установки AmanVPN были какие-то сомнительные службы, да и меняя сервера, тоже глюков/проблем хватало.
Просьба не осуждать - личный опыт/мнение с месяц назад. Благодарю за понимание. |
|
|
|
|
VikusK
Стаж: 12 лет 9 мес.
Сообщений: 1281
Ratio: 3.018
81.13%
|
| Михаил писал(а): | | VikusK писал(а): | проще, пользуюсь |
на людях писать кто чем пользуется, у кого какой рабочий стол, и у кого какой провайдер, у кого какая Операционная система и проч. - нонсенс - равно как писать тут кто с какой бабой спит в данный момент )) |
Каждый раз при появлении новой фишки-VPN всегда сразу пробую на эффективность и сравниваю с другими бесплатными ... Аман использует те же страны и адреса, но работает даже хуже на близких мне, например Сингапур, Япония, на торенте тупит конкретно, аутентификация на сайтах не идёт, короче не пошёл он у меня, а значит дело не в наблюдении, а просто в самой проге ... и получается суть в том если VPN хороший, то его работа не должна зависеть не только от "бабы с которой спишь", но и от тех причин о которых именно Вы написали, а не я... Добавлено спустя 4 минуты 46 секунд: | SanLex писал(а): | Eastoop ®
Тему прочитал от и до. Спасибо за полный опыт и дополнительную информацию. :hello7:
P.S. Лично не пользуюсь никакими VPN программами - факт.
Но было дело опробовать в прошлом месяце AmanVPN (чисто ради интереса)...
После установки AmanVPN были какие-то сомнительные службы, да и меняя сервера, тоже глюков/проблем хватало.
Просьба не осуждать - личный опыт/мнение с месяц назад. Благодарю за понимание. |
Вообще спасибо! так и надо, а то сбрасывают лишь бы сбросить, а так обратная связь!!! Кстати, в настоящий момент вышел на NNM вообще без ни чего и пока работает... |
|
|
|
|
gwarus
Стаж: 14 лет 7 мес.
Сообщений: 31
Ratio: 3.92
0%
|
интересно будет ли возможно с помощью данной проги скачивать торренты??? |
_________________
GWAR
|
|
|
|
Andrey_Vladimirovich
Стаж: 13 лет 7 мес.
Сообщений: 229
Ratio: 54.751
Раздал: 55.26 TB
100%
Откуда: СПб
|
| starfox521 писал(а): | | Andrey_Vladimirovich писал(а): |
Ситуация с антивирусами решается очень просто. Напишите самому доверяемому вами (а лучше тому, которым сами пользуетесь) и спросите, почему их продукт определяет заразу в данной программе и не является ли это ложным срабатыванием. Вам слабо это сделать? Если да, давайте я напишу Касперычу (у меня его лицензия).
|
Писал. |
Я имел в виду по данной программе. Не стали вы писать, вот и весь ответ. Теперь насчёт моего запроса. Сначала ответили "Детектирование корректно.". Потом я попросил уточнить написав "Спасибо за ответ. А что конкретно плохого делает эта программа? Исходя из информации на вашем сайте я так этого и не понял.". Тогда мне ответили "Описание класса вердикта указано в справочнике: https://encyclopedia.kaspersky.ru/knowledge/trojan-proxy/Это ПО содержит различный вредоносный функционал в виде сбора информации о системе, установки прокси-сервера и удаленного управления системой (бэкдор).". Ещё я написал DrWeb'у и MS. По приходе ответов опубликую их тут. P.S. Кстати, многим можно написать не имея лицензии на антивирус. Вроде, даже для написания в ЛК через Threat Intelligence Portal не обязателен аккаунт в My Kaspersky. |
|
|
|
|
personasmail
Стаж: 13 лет 7 мес.
Сообщений: 36
Ratio: 0.52
Поблагодарили: 17
12.43%
Откуда: Russia
|
Работает без установки - файл-архив, распаковал в корень C:, переименовал папку и слил ярлык на рабочий стол. После отключения и выхода из программы в системе остается висеть процесс на Package1.1.sys, но в остальном никаких критичных проблем не нашел. Коннектится со сменой IP за 8 сек. Жаль нет горячей смены локации. Расширенный функционал разблокируется путем социализации (поделится) в фейсбуке или твитере. Проверил локации, подтверждаю, кроме вилкобритании - определяется на сервисах как юэсай, в остальном, для нетребовательного юзверя, вполне себе зонтик и лазейка на заблокированные сайты. |
|
|
|
|
Magnit Rus
Модератор Сериалов
Модератор Видео
Uploader 100+
Стаж: 13 лет 6 мес.
Сообщений: 8289
Ratio: 866.487
Поблагодарили: 588804
100%
|
ав на пк ничего не нашёл, как и онлайн проверка, не согласился с результатом, сделал запрос о результате отпишусь |
|
|
|
|
|
|
|
