Автор |
Сообщение |
Eastoop ®
Модератор Книг и Программ
Стаж: 15 лет 6 мес.
Сообщений: 27656
Ratio: 407.731
Поблагодарили: 149077
100%
|
AmanVPN: прекрасный подарок или отравленная конфета?
Не так давно ворвался в круг VPN клиентов такой интересный продукт, как AmanVPN. Нам предложили широчайшие возможности совершенно бесплатно. Программа разрабатывается международным коллективом достаточно интенсивно и нацелена на широкий круг использования. Но, как гласит народная мудрость, "Бесплатный сыр бывает только в мышеловке". Слабо верится в альтруизм и филантропию молодых и талантливых программистов, решивших подарить миру программу, которая сможет вытеснить с рынка целую когорту платных аналогов. Предлагаю начать исследование недокументированных функций этой программы. В связи с тем, что в программе отсутствуют даже намеки на какие-либо справочные материалы, а на сайте нет ни форума, ни вменяемой формы обратной связи, в этой теме также будут описываться приемы и особенности работы с программой. Также, очень надеюсь, на форуме найдутся специалисты, которые смогут рассмотреть программу вооруженным взглядом и осветить ее недокументированную сетевую активность. Наверняка у программы должна быть функция сбора каких-то данных для отправки разработчикам. Хочется надеяться, что через нее не будет происходить утечка конфиденциальной информации, но стоит рассчитывать на какую-то выгоду от программы для ее разработчиков и поэтому лучше быть наготове и во всеоружии, чтобы, при наличии телеметрии, отсечь таковую. Для затравки изложу то, что мне удалось узреть невооруженным взглядом. Установщик представляет собой банальный WinRar SFX архив, в котором содержится весь состав программы. При запуске установки используется режим временного каталога, то есть содержимое архива распаковывается в папку TEMP в профиле пользователя и оттуда уже начинается распихивание файлов по разным местам в системе. Основная масса копируется в папку c:\Program Files (x86)\aman\, но часть файлов оказывается в папке Windows. Это файлы AmanOnlineWT.exe и AmanUpdateLogLT.exe, второй запускается как служба, причем не удаляемая в процессе деинсталляции программы, первый, по всей видимости, должен обеспечивать какое-то дополнительное соединение. Может быть удален защитником Windows, как малварь. Как показала практика, программа прекрасно обходится без этих файлов. В ранних версиях программы эти 2 файла содержались в виде отдельно программного блока под названием wallpaper.
После установки программы распакованный временный каталог не удаляется и может использоваться для восстановления утраченных или удаленных пользователем компонентов. Программе для соединения требуется TAP адаптер. Без него она сможет соединиться с серверами. Разработчики частично позаботились о драйвере этого адаптера, но только для пользователей 64 разрядных систем. Владельцам 32 битных ОС придется самостоятельно искать, скачивать и устанавливать этот TAP адаптер.
Кстати, драйвер адаптера маркирован Tom VPN, возможно разработчики амана - выходцы из команды этого клиента. Но тут я могу сильно ошибаться.
После установки организуются три службы неясного назначения. Причем одна служба не поддержана фалом из состава программы. Возможно это заготовка и в следующей версии программы появится еще один файл неясного назначения.
Первое, что бросается в глаза после запуска программы, это замки на специальных серверах. При попытке выбора специального сервера появляется пояснение, что доступ к такому серверу возможен только путем обмена. Под обменом подразумевается публикация информации о программе в своем аккаунте на одной из двух площадок: Твиттер или Фейсбук. Пусть это не пугает. Программа не проверяет наличие публикаций и даже наличие аккаунтов. Достаточно нажать на один из значков, вам будет предложено уже в браузере зайти в соцсеть. Далее браузер можно просто закрыть. Специальные серверы после нажатия на значок автоматически разблокируются.
При наведении курсора на тип специального сервера или страны справа проявляется троеточие, нажатием на которое можно выбрать страну и сервер или сервер (в выбранной стране) и соединяться с конкретным сервером. Также можно выбрать опцию Разумный выбор, программа сама найдет для вас самый быстрый свободный сервер.
В настройках можно выбрать, для всех ли приложений будет использоваться туннель или для некоторых, тут же можно выбрать приложения, которые будут выходить в инет через туннель.
Сразу после скачивания свежеопубликованной версии программы наиболее подозрительные компоненты были проверены на вирустоал. Результаты анализа показали, что наиболее неоднозначным оказался файл AmanOnlineWT.exe, который сходу отдетектировался аж 28 антивирусами, но по классификации принадлежности к программе AmanVPN и потенциально нежелательного ПО. Остальные файлы детектировались только особо отмороженными псевдоантивирусами, использующими мало того, что чужие базы, но и не использующими вообще никакой эвристики.
Ссылки на результат сознательно не даю, потому что программа обновляется часто и мои ссылки через несколько дней потеряют актуальность. Но развитие детектов во времени показывает, что детектирование у большинства антивирусов идет по принципу толпы: "кто-то нашел что-то, значит и я помечу файл, как неблагонадежный". Поэтому вирустоталу тоже нельзя верить безоговорочно. Вывод: Клиентом можно достаточно спокойно пользоваться, если или предварительно из установочного WinRar архива удалить два подозрительных файла: AmanOnlineWT.exe и AmanUpdateLogLT.exe, или после установки их вычистить из системы. В самом худшем случае не будет работать автоматическое обновление, возможно и поиск обновлений тоже откажется работать и программа будет признаваться вечно новой. Но тут тоже может быть плюс. Сохранится работоспособность старой версии без оглядки на выход новой версии. Желательно после установки программы очистить временную папку от распакованного установочного пакета. P.S. Это мой личный вывод не претендующий на абсолютную истину и никому не навязываемый. |
|
|
|
Eastoop ®
Модератор Книг и Программ
Стаж: 15 лет 6 мес.
Сообщений: 27656
Ratio: 407.731
Поблагодарили: 149077
100%
|
Magnit Rus Уточните, плз, версию. В версии 2.1.4, похоже, еще не было заразы. И из репаков на трекере тоже сомнительные файлы удалялись. |
|
|
|
Andrey_Vladimirovich
Стаж: 13 лет 7 мес.
Сообщений: 229
Ratio: 54.754
Раздал: 55.26 TB
100%
Откуда: СПб
|
Magnit Rus писал(а): | ав на пк ничего не нашёл, как и онлайн проверка, не согласился с результатом, сделал запрос о результате отпишусь |
Где брали файл, который проверяли? В текущем дистрибутиве под Win (Aman_2.2.6.0607_1631.exe) каспер видит угрозу. DrWeb теперь тоже детектирует угрозу (Trojan.Siggen18.3935). |
|
|
|
Михаил
Стаж: 13 лет 9 мес.
Сообщений: 21356
Ratio: 22.972
100%
|
Eastoop писал(а): | AmanVPN |
ради хохмы,зашел на их сайт - если этот: https://amanvpn.com/Скачал экзе-файл: Aman_2.2.6.0607_1631.exe запустил его на вирустотал.ком: Получил: https://www.virustotal.com/gui/file/a25cbd88762fd85ccce12b6b4cd25c96fad22d8ebf1153fe6b1c37f07c8b7aefИ что, нужно разве ещё обсуждать эту тему? Или я чего-то не понимаю.... |
|
|
|
Magnit Rus
Модератор Сериалов
Модератор Видео Uploader 100+
Стаж: 13 лет 6 мес.
Сообщений: 8289
Ratio: 866.487
Поблагодарили: 588804
100%
|
Eastoop писал(а): | Уточните, плз, версию. | AmanVPN 2.2.6.0607 это файл без распаковки, как он есть в раздаче. детект изменился |
|
|
|
arahhnid
Стаж: 10 лет 10 мес.
Сообщений: 6
Ratio: 0.568
9.06%
|
Работают релизы: AmanVPN 2.1.7.0425 AmanVPN 2.2.0.0525 AmanVPN 2.2.2.0527
А вот кричать он вирусе - AmanVPN 2.2.6.0607 - Trojan.Siggen18.3935 Предыдущий тоже орал об трояне.
У меня работает AmanVPN 2.2.2.0527 |
|
|
|
norma121
Стаж: 14 лет 2 мес.
Сообщений: 120
Ratio: 4.252
0.24%
|
|
|
WhiteBot
RG Releasers
Меценат
Стаж: 2 года 6 мес.
Сообщений: 2553
Ratio: 429.427
Раздал: 2.917 TB
Поблагодарили: 175754
100%
|
Eastoop писал(а): | Программе для соединения требуется TAP адаптер. Без него она не сможет соединиться с серверами. |
|
_________________
|
|
|
Eleventh
Стаж: 13 лет 5 мес.
Сообщений: 149
Ratio: 5.747
Раздал: 6.909 TB
100%
|
В каких временных папках папках хранится копия? руками не нашел нигде |
|
|
|
Eastoop ®
Модератор Книг и Программ
Стаж: 15 лет 6 мес.
Сообщений: 27656
Ratio: 407.731
Поблагодарили: 149077
100%
|
Eleventh писал(а): | В каких временных папках папках хранится копия? | %LOCALAPPDATA%\Temp она же C:\Users\ИмяПользователя\AppData\Local\temp |
|
|
|
Andrey_Vladimirovich
Стаж: 13 лет 7 мес.
Сообщений: 229
Ratio: 54.754
Раздал: 55.26 TB
100%
Откуда: СПб
|
Моя отправка в MS закончилась ничем. Сначала, отправил весь дистрибутив и мне написали, что он слишком большой и отклонили запрос. Потом отправил только файл manupdateloglt.exe на это они написали "Failed to process within SLA. If processing is still needed, please resubmit the submission." (Не удалось обработать в рамках SLA. Если обработка по-прежнему необходима, отправьте заявку повторно.). Ну их нахрен, больше отправлять не хочу, тем более, что дистрибутив сменился и теперь антивирусы меньше ругаются. Возможно, разработчик решил не внедрять заразу или это временное решение. В любом случае этим лучше не пользоваться, если, конечно, вы не враг своим данным. |
|
|
|
Antonij72_NN
Стаж: 14 лет 7 мес.
Сообщений: 438
Ratio: 31.722
Раздал: 76.74 TB
Поблагодарили: 143
100%
Откуда: Нижний Новгород
|
Magnit Rus писал(а): | DrWeb теперь тоже детектирует угрозу (Trojan.Siggen18.3935). |
Прочитал описание (https://vms.drweb.ru/virus/?i=25212422). И что опасного/криминального он делает? Я не понял. |
_________________ Я, инвалид 1 группы, ищу работу. Или благотворительную помощь. Спасибо. Вся информация обо мне - на моей страничке.
|
|
|
ripton07
Стаж: 12 лет 4 мес.
Сообщений: 296
Ratio: 12.299
42.78%
|
... про отравленную конфету, ну тут такое... провел небольшое исследование данной программы в рамках - "...понадобилось мне однажды туннелировать (перенаправлять трафик) одной лишь программы, которая ни в какую не хочет работать под Российским IP, соответственно задача стояла выпускать эту прогу в мир через ВПН". При наличие даже небольшой суммы в месяц (от 55р) это решается спокойно через vds (виртуальный сервер), но, подумал я, какие есть предложения на рынке для впн туннелирования вообще.. оказалось, что бесплатных вендоров с такими возможностями как таковых нет, а платных не больше 5-8 (да настроить можно тоннель и средствами самой системы, но кому это надо), забредаю на aman и что я вижу премиум функция в бесплатном (пока) впн... изучаю вопрос про "отравленную котлету", смотрю программу, историю версий, реакцию virustotal - меня все устраивает, разбираю клиента (что куда откуда идет, куда лезет), по сути, вся программа это графическая оболочка для формирования ключей и передачи этих ключей модулю amanProxy.exe, ключи формируются на основе правил (серверов) прописанных в папке json\line (если распаковать установщик) ... ( AmanVPN 2.3.2.0812 [Multi/Ru]), ...и, в общем то, весь этот довесок не нужен... Но, для успокоения, покидал на virustotal прежние версии amanProxy.exe, выяснил, что до версии 2.0.1 модуль не детектился совсем никак, с версии 2.0.1 начался детект от nod32, причина видна при запуске отдельного модуля amanProxy.exe, это попытка задействовать дополнительные аргументы, запрашивая другие модули оболочки программы.. Итог: программа безопасна (на момент написания поста), выполняет туннелирование отдельной программы не затрагивая своим медленным впн весь исходящий трафик, что мне и надо было, (для параноиков стоит использовать модуль от версий 1.0.1 -1.0.3 они не лезут и не запрашивают ничего... и не детектятся), выполняет функции впн в основном объеме, качество ниже среднего (для обхода блокировок крайне не выгоден, слишком медленная скорость серверов), - (я думаю, Cloudflare WARP никто в ближайшем будущем не переплюнет по скорости), а чисто для обхода блокировок лучше чем антизапрет сейчас просто нет ...имхо конечно... В последней версии детект идет по 20 вендорам, но если использовать чисто модуль, то ничего никуда не идет, все тихо сопит в той папке откуда запустился (к вопросу о портабельности)... можно также назначить значок модулю, можно и вовсе скрыть его запуск (и авто-запуск) при старте... при чем сам модуль потребляет не более 4 мб памяти,, - ну 5 может... прекрасно решенный вопрос раздельного туннелирования за бесплатно... |
|
|
|
WhiteBot
RG Releasers
Меценат
Стаж: 2 года 6 мес.
Сообщений: 2553
Ratio: 429.427
Раздал: 2.917 TB
Поблагодарили: 175754
100%
|
ripton07 писал(а): | выполняет функции впн в основном объеме, качество ниже среднего (для обхода блокировок крайне не выгоден, слишком медленная скорость серверов) |
Если брать конкретно мой случай, то я тут категорически не согласен. Мне на сегодняшнем ''рынке'' нравятся 2 вида VPN: F-Secure Freedome VPN и AmanVPN. Не какой разницы не заметил от слова совсем, единственное ''капча'' слегка надоедает на определённых странах в F-Secure Freedome VPN. Если в вашем географическом регионе данный VPN не работает так как вам бы хотелось, это ещё не говорит о том что и у всех остальных также.
Давайте будем уважать автора данной темы и придерживаться: Eastoop писал(а): | Статья, вообще-то, писалась с целью изучения программы, а не с целью сбора мнений, кто чем пользуется и как обойтись без данной программы. |
По остальным вопросам есть AmanVPN 2.3.3.0824 [Multi/Ru] (на данный момент открыто) |
_________________
|
|
|
Magnit Rus
Модератор Сериалов
Модератор Видео Uploader 100+
Стаж: 13 лет 6 мес.
Сообщений: 8289
Ratio: 866.487
Поблагодарили: 588804
100%
|
походу всё, закончился АМАН |
|
|
|
Sugrob
Стаж: 17 лет
Сообщений: 192
Ratio: 1.374
3.8%
Откуда: Москва
|
Magnit Rus писал(а): | походу всё, закончился АМАН |
Да Все Вилки. Не запускается |
|
|
|
|
|
|