Зачем приложению доступ к профилю пользователя в браузере?

Модератор: motyara

Ответить
Lyokem
Сообщения: 7
Зарегистрирован: Пт мар 02, 2018 6:56 pm

Зачем приложению доступ к профилю пользователя в браузере?

Сообщение Lyokem »

Выскочило сообщение "Приложение Unreal Commander пыталось получить доступ профилю пользователя в браузере. Это действие могло угрожать Браузеру и поэтому было заблокировано.".
2018-03-02_18-51-18.png
2018-03-02_18-51-18.png (11.32 КБ) 2704 просмотра
Аватара пользователя
Max Diesel
Автор программы
Сообщения: 3431
Зарегистрирован: Пт окт 12, 2007 3:26 pm
Контактная информация:

Сообщение Max Diesel »

Unreal Commander'у совершенно неинтересен профиль браузера, однако если Яндекс-браузер защищает файлы профиля от любого доступа к ним, то стоит зайти в каталог с этими файлами профиля и сработает защита, ведь программа попытается прочитать листинг каталога и значки файлов. Кроме того не исключено что защита может сработать при подсчете размера каталогов (этого факта я не проверял, это лишь предположение). Соответственно хотелось бы поинтересоваться: какие действия со стороны пользователя имели место перед срабатыванием защиты?
Lyokem
Сообщения: 7
Зарегистрирован: Пт мар 02, 2018 6:56 pm

Re: Зачем приложению доступ к профилю пользователя в браузере?

Сообщение Lyokem »

Только открытие программы, на вкладках корни диска С и D. В таком состоянии программа была минуту, после этого выскочило сообщение от Protect (Яндекс).
Аватара пользователя
Max Diesel
Автор программы
Сообщения: 3431
Зарегистрирован: Пт окт 12, 2007 3:26 pm
Контактная информация:

Сообщение Max Diesel »

Я ради интереса установил Яндекс-браузер, разыскал файлы профиля ("%LOCALAPPDATA%\Yandex\YandexBrowser\") и скопировал весь каталог профиля на соседний диск. Защита не сработала. Затем я удалил все файлы профиля (кроме тех, которые удерживались браузером), защита не сработала. Как же все-таки сделать так, чтобы сработала защита?
Lyokem
Сообщения: 7
Зарегистрирован: Пт мар 02, 2018 6:56 pm

Re: Зачем приложению доступ к профилю пользователя в браузере?

Сообщение Lyokem »

Версия браузера 18.2.0.234 beta. Может в бэте только такое... Более подробных сведений не даёт.
2018-03-02_20-07-16.png
2018-03-02_20-07-16.png (30.21 КБ) 2701 просмотр
Lyokem
Сообщения: 7
Зарегистрирован: Пт мар 02, 2018 6:56 pm

Re:

Сообщение Lyokem »

Max Diesel писал(а): Пт мар 02, 2018 8:03 pm Я ради интереса установил Яндекс-браузер, разыскал файлы профиля ("%LOCALAPPDATA%\Yandex\YandexBrowser\") и скопировал весь каталог профиля на соседний диск. Защита не сработала. Затем я удалил все файлы профиля (кроме тех, которые удерживались браузером), защита не сработала. Как же все-таки сделать так, чтобы сработала защита?
Только что проделал то же самое (кроме удаления) - окошко не выскочило, но было записано в журнал (Настройки браузера - Настройки безопасности). Наверное при запуске UC, как Вы и говорили, он "проходится по папкам", в том числе и пользователя - это и фиксирует Protect. Хотя оба окна показывают корни дисков.
2018-03-02_20-15-18.png
2018-03-02_20-15-18.png (38.82 КБ) 2700 просмотров
2018-03-02_20-15-38.png
2018-03-02_20-15-38.png (38.14 КБ) 2700 просмотров
Аватара пользователя
Max Diesel
Автор программы
Сообщения: 3431
Зарегистрирован: Пт окт 12, 2007 3:26 pm
Контактная информация:

Сообщение Max Diesel »

На этих скриншотах в глаза бросаются две вещи:
1. дата создания файла Uncom.exe - 8 апреля 2017. В тот день не выходил ни один билд.
2. написано что "Издатель: нет данных". У меня подписаны все мои исполняемые файлы и мои библиотеки, а у этого файла почему-то нет подписи!

Где Вы скачивали дистрибутив? Пришлите мне этот файл "Uncom.exe" (на email в zip-архиве или через форум), хочется на него посмотреть.
Lyokem
Сообщения: 7
Зарегистрирован: Пт мар 02, 2018 6:56 pm

Re: Зачем приложению доступ к профилю пользователя в браузере?

Сообщение Lyokem »

2018-03-02_20-38-27.png
2018-03-02_20-38-27.png (66.54 КБ) 2697 просмотров
1. Версия на скрине, была обновлена с предыдущей версии.
2. Отправил на почту. Но если открывать с панели уведомлений то подпись видна.
22.jpg
22.jpg (84.23 КБ) 2697 просмотров
Аватара пользователя
Max Diesel
Автор программы
Сообщения: 3431
Зарегистрирован: Пт окт 12, 2007 3:26 pm
Контактная информация:

Сообщение Max Diesel »

Файл все-таки подлинный, даже странно что Яндекс-браузер поначалу сказал что нет данных по издателю. К сожалению у меня нет идей относительно происходящего, однако есть пара мыслей по данному вопросу:
1. если в программе установлены плагины, то любое выполняемое плагином действие будет выполняться от имени программы.
2. однажды я ради интереса установил один файрвол (не буду говорить название чтобы не делать им антирекламу) и он с абсолютной уверенностью заявил что Unreal Commander следит за клавиатурой и делает снимки экрана. Однако уж как автор программы я-то точно знаю, что никаких снимков экрана он не делает, а за клавиатурой он "следит" лишь по сочетанию глобального вызова (по умолчанию это Ctrl+Alt+Backspace, оно позволяет подозвать окно программы если оно находится за другими окнами). Если бы авторы систем защиты за ложные детекты выплачивали денежные возмещения разработчикам, программы которых были ошибочно обвинены в выполнении зловредных действий, то прибыль авторов систем защиты была бы минусовой.

Как вариант, можете попробовать установить новую копию программы в чистый каталог, запустить ее оттуда и посмотреть на реакцию Яндекс-браузера. Будет ли он в такой ситуации утверждать что программа попыталась изменить его файлы профиля или нет.

Кстати возможно имеет смысл обновить программу до последнего билда.
Аватара пользователя
Max Diesel
Автор программы
Сообщения: 3431
Зарегистрирован: Пт окт 12, 2007 3:26 pm
Контактная информация:

Сообщение Max Diesel »

Я вдруг обратил внимание на интересное отличие между первыми скриншотами и последним. Оно вполне может быть логичным объяснением того факта, что Яндекс-браузер поначалу не увидел у программы цифровой подписи:
интересное отличие.png
интересное отличие.png (274.59 КБ) 2696 просмотров
Полагаю, Вам нужно как можно быстрее проверить компьютер антивирусом.
Lyokem
Сообщения: 7
Зарегистрирован: Пт мар 02, 2018 6:56 pm

Re: Зачем приложению доступ к профилю пользователя в браузере?

Сообщение Lyokem »

Проверил компьютер Avast и CureIt - чисто.
По поводу разного размера - думаю ошибка самого модуля Protect, ругалось также на хост-процесс (rundll32.exe) с подписью Microsoft, размер файла при закрытом Браузере и открытом отличался (но подпись сохранялась).
Так же и с Вашим файлом, если закрыть Браузер подпись есть, размер отличается.
Если посоветуете ещё чем-нибудь проверить компьютер, буду благодарен.
P. S. Версию программы обновил.
Аватара пользователя
Max Diesel
Автор программы
Сообщения: 3431
Зарегистрирован: Пт окт 12, 2007 3:26 pm
Контактная информация:

Сообщение Max Diesel »

Я даже не против предположения что размеры отличаются из-за ошибки в этом модуле защиты, однако мне однозначно не нравится его утверждение что Unreal Commander пытался модифицировать файлы браузера. Соответственно если уж считать что Protect не ошибся в определении попытки "модифицирования", то значит в компьютере все-таки есть какой-то троян, который имеет довольно-таки редкое умение - выполнение действий от имени другой программы. Либо Protect ошибочно определил программу, которая выполняет модифицирование файлов браузера, то есть действие делал сам браузер, но Protect счел что оно было выполнено Unreal Commander'ом. Возможно браузер тоже надо бы обновить до не-бета версии. Других идей пока что нет.
Lyokem
Сообщения: 7
Зарегистрирован: Пт мар 02, 2018 6:56 pm

Re: Зачем приложению доступ к профилю пользователя в браузере?

Сообщение Lyokem »

Понимаю, оффтоп, но не посоветуете ли чем проверить компьютер на наличие столь редкого трояна?
И ещё, чтобы проверить данную ситуацию у себя, стоит сделать профиль в браузере, а также установить мастер-пароль.
Аватара пользователя
Max Diesel
Автор программы
Сообщения: 3431
Зарегистрирован: Пт окт 12, 2007 3:26 pm
Контактная информация:

Сообщение Max Diesel »

Lyokem писал(а): Сб мар 03, 2018 7:47 pm Понимаю, оффтоп, но не посоветуете ли чем проверить компьютер на наличие столь редкого трояна?
К сожалению ничего посоветовать не могу. Если уж троян неизвестен ни одному антивирусу, то найти его будет непросто. В такой ситуации вероятно самый логичный вариант - переустановить Windows.
Ответить