Как удалить зона

Введение

Zona является бесплатным программным продуктом (торрент-клиентом), предназначенным для поиска, скачивания и просмотра (в том числе, и «на лету») контента из пиринговых сетей. Официальный сайт программы — Zona.ru

К сожалению, ознакомиться с историей появления и развития компании Destiny Media и ее продуктов не представляется возможным – на официальном сайте информация об этом отсутствует.

Вариант установщика торрент-клиента Zona, скачанный с официального сайта, детектируют как вредоносный следующие антивирусные компании:

Таблица 1. Сводная таблица детектирования антивирусами торрент-клиента Zona

Вариант установщика торрент-клиента Zona, скачанный с партнерского сайта torrentino.com, детектируют как вредоносный следующие антивирусные компании:

Таблица 2. Сводная таблица детектирования антивирусами торрент-клиента Zona, скачанный с партнерского сайта torrentino.com

В частности, на сайте компании «Доктор Веб» находится подробное описание причин детектирования программы Zona как Program.Zona.1, в которой высказаны факты, на основании которых программа Zona была добавлена как потенциально опасная:

  1. При отсутствии на компьютере Java самостоятельно скачивает её с внутренних ресурсов компании Destiny Media и устанавливает её, версия Java при этом устаревшая.
  2. При определённых условиях при запуске Zona меняет стартовую страницу и поисковую систему по умолчанию на rambler.ru

С текстом пресс-релиза компании «Доктор Веб» относительно Zona можно ознакомиться по данной ссылке: https://vms.drweb.com/virus/?i=2302167. Однако, большинство антивирусных компаний, которые работают на рынке, не детектируют установщики торрент-клиента Zona как вредоносное либо потенциально опасное программное обеспечение.

Таким образом, причиной добавления сигнатур торрент-клиента Zona в антивирусные базы Dr.Web стали нарушения компанией Destiny Media хороших практик разработки программного обеспечения.

Важно! По состоянию на 16.06.2014 все обнаруженные нами и описанные в данном отчете нарушения в торрент-клиенте Zona были устранены.

Анализ работоспособности торрент-клиента Zona

Была проанализирована схема распространения торрент-клиента Zona компанией Destiny Media совместно с торрент-порталом https://www.torrentino.com/.

На сайте Torrentino.com запрос на скачивание любого торрент-файла на момент подготовки статьи сопровождалась рекламным блоком–кнопкой Zona. При этом часть фразы «с помощью Zona» выполнена мелким шрифта, сливающимся с цветом самой кнопки, что вводит неискушённого пользователя в заблуждение по поводу того, что именно он скачивает себе на компьютер. Таким образом, при щелчке на кнопку с надписью «Скачать» происходит скачивание исполняемого файла-установщика Zona. Такой же приём был использован на сайте rutor.org, предлагавший скачать установщик торрент-клиента MediaGet (см. анализ порталом Anti-Malware.ru торрент-клиента MediaGet, /Threats_Analysis/Mediaget_analysis).

Рисунок 1. Пример предложения скачать установочный файл Zona вместо запрашиваемого .torrent-файла

При этом, если подождать 30 секунд, появится ссылка «Скачать torrent», при щелчке на который будет произведено скачивание произойдет скачивание обычного торрент-файла.

Рисунок 2. Ссылка «Скачать torrent» появилась

Скачанный исполняемый файл торрент-клиента Zona подписан цифровой подписью и полностью идентичен в этом смысле клиенту, скачанному с основного сайта компании zona.ru.

Рисунок 3. Проверка цифровой подписи файла, скачанного с сайта torrentino.com

Рисунок 4. Проверка цифровой подписи исполняемого файла с сайта zona.ru

Однако размер данных двух файлов сильно отличается друг от друга (с torrentino.com – 206 Кб, с zona.ru – 27,6 Мб). В загружаемом с сайта-партнёра файле отсутствуют установочные пакеты, которые подгружаются в процессе установки, если в них возникает необходимость (например, клиент Java Runtime Environment).

Результаты проверки скачанных установочных файлов Zona (torrentino.com):

Результаты проверки скачанных установочных файлов Zona (zona.ru):

Установка версии клиента Zona с сайта torrentino.com

При установке торрент-клиента Zona происходит следующее:

  1. Происходит проверка на наличие в системе клиента Java. В случае отсутствия в системе данного ПО, с серверов Zona происходит скачивание установщика устаревшего (Version 6 Update 45) клиента Java Runtime Environment в папку %AppData%\Zona\tmp и запуск его на исполнение. Согласие клиента на установку стороннего ПО не предусмотрено.
  2. Создаются два каталога на жёстком диске: %AppData%\Zona\ и %Program Files%\Zona\. В первой папке хранятся данные и программные файлы Zona Updater и для работы с Mozilla XUL (а также, различные плагины), во второй– программные файлы.
  • в папке %AppData%\zona\:

plugins\

tmp\

  • %AppData%\zona\tmp\:
  • %AppData%\zona\plugins\:

zhtml\

zmdht\

zprovider_0\

zupdater\

zupnpms\

zxulrunner10\

  • %Program Files%\Zona:

jre\ (в случае, если на компьютере пользователя отсутствует установленный Java Runtime Environment, установленный до запуска инсталляции торрент-клиента Zona)

  • %Program Files%\Zona\jre\:

Содержит полноценный Java Runtime Environment Version 6 Update 45

  • %Program Files%\Java\:

Содержит Java Runtime Environment Version 6 Update 45 в случае, если клиент Java не был установлен до установки торрент-клиента Zona

  1. Лицензионное соглашение EULA в процессе установки не демонстрируется в отдельном окне установщика продукта, для этого нужно кликнуть по специальной ссылке.

Рисунок 5. Предложение об ознакомлении с лицензионным соглашением Zona

  1. По умолчанию, Zona предлагает пользователю установится торрент-клиент по умолчанию, а также установить себя для авто-запуска и добавить себя в исключения встроенного брандмауэра Windows. При выключении данных опций установщик Zona ведёт себя корректно. В случае включения авто-запуска Zona, данная функциональность обеспечивается регистрацией значения «Zona» в ключе реестра .

Никакой визуальной либо функциональной разницы между «быстрой установкой» и «расширенной» нет.

Рисунок 6. Установка торрент-клиента Zona основным по умолчанию

  1. При запуске установочного файла Zona пользователю по-умолчанию предлагается установить Rambler страницей и поиском в браузерах по умолчанию. При выключении данного чекбокса Rambler не устанавливается.

Стоит отметить, что возможность старта торрент-клиента при старте системы и добавление в исключения фаервола Windows- это стандартная практика для практически любого присутствующего на рынке клиента Peer-to-Peer (в том числе, и для обмена данными по протоколу BitTorrent).

Рисунок 7. Выбор установок дополнительного ПО

Установка версии клиента с сайта zona.ru

Клиент, устанавливаемый с сайта zona.ru, на эпате установки ведёт себя несколько иначе, нежели чем установщик с torrentino.com.

  1. Программа предлагает выбрать настройки установки. Пользователю недоступно лицензионное соглашение на данном этапе установки клиента Zona.

Рисунок 8. Программа установки торрент-клиента Zona (вариант с сайта zona.ru)

  1. Далее программа проверяет наличие установленного клиента Java и в случае его отсутствия, извлекает установщик Java Runtime Environment и запускает его без согласия на то пользователя. Только на этом этапе пользователь может прочитать лицензионное соглашение.

Рисунок 9. Лицензионное соглашение варианта клиента (вариант с сайта zona.ru)

  1. Диалог клиента с установкой ресурсов Rambler как стартовой страницы и поиска по умолчанию отсутствует. Модификация параметров браузеров не происходит.
  2. Состав файлов и папок совпадает с тем, что используется в варианте установщика с torrentino.com.

Исходя из вышеизложенного, следует трактовать как сомнительные следующие особенности установщика торрент-клиента Zona:

  1. В случае, если клиент Java не установлен на компьютере пользователя в момент установки торрент-клиента Zona, Java Runtime Environment Version 6 Update 45 принудительно устанавливается на компьютер без согласия на то пользователя, равно как и без возможности отменить этот процесс.
  2. Устанавливаемый торрент-клиентом Zona Java Runtime Environment Version 6 Update 45 является сильно устаревшим, с многочисленным набором известных эксплуатируемых злоумышленниками уязвимостей, что открывает им двери на компьютер.
  3. При установке торрент-клиента Zona дополнительная установка сервисов Рамблер выбирается по умолчанию, пользователь вынужден быть внимательным и совершать дополнительные действия для того, чтобы не устанавливать данные сервисы в случае, если они ему не нужны.

Работа программы Zona

При первом запуске Zona регистрирует в реестре свои типы файлов (.zona, .bcuri и .bctpuri), а также контексты MIME-типов (x-zona, x-bctp-uri, x-bc-uri), а также создаёт дополнительные служебные файлы и папки в каталоге %AppData%\zona\.

Также, Zona проверяет настройки ассоциаций с файлами.torrent и, в случае, если Zona не является программой по умолчанию для открытия торрент-файлов, предлагает ассоциировать себя с ними. В случае отказа ведёт себя корректно.

Рисунок 10. Проверка ассоциаций торрент-клиентов по умолчанию

При установке клиента Zona происходит доступ к cookie-объектам Shockwave Player, ассоциированных с сайтом zona.ru, что сделано в целях идентификации уже установленного клиента Zona.

Важно отметить, что поведения, свойственного опасному (вредоносному) программному обеспечению, как то: шпионской активности (отправка каких-либо сведений на удалённый сервер), установки вредоносных программ третьих сторон, установки руткитов, работы в качестве кейлоггера, трояна или червя, заражения исполняемых файлов, атак на целостность данных либо системы в целом, не обнаружено.

Выводы

На основании проведённого исследования и полученных результатов можно сделать вывод, что торрент-клиент Zona нельзя считать вредоносной программой в классическом понимании этого определения. Однако, по факту принудительной установки стороннего программного обеспечения Java Runtime Environment без согласия пользователя (в случае, если клиент Java не был установлен пользователем самостоятельно до установки торрент-клиента Zona), да ещё и с большим количеством известных злоумышленникам уязвимостей, данное поведение может трактоваться некоторыми антивирусными производителями как потенциально нежелательное.

Подозрительные признаки на март 2014 года:

  1. Принудительная установка устаревшей версии клиента Java, в котором на данный момент обнаружены многочисленные уязвимости, открывающие злоумышленникам широкое окно на компьютеры с установленным клиентом Zona. Подобное поведение должно трактоваться как потенциально опасное действие, ведущее к серьёзному снижению их защищенности.
  2. Недобросовестный метод увеличения числа установок своего программного обеспечения — когда рядом с запрашиваемым целевым torrent-файлом пользователю предлагается установочный файл Zona.

В целом программа Zona производит все заявленные в своём функционале действия. Ее нельзя считать вредоносной программой, но можно считать потенциально опасным программным обеспечением, увеличивающим риск заражения пользователей.

Состояние на 16 июня 2014:

  1. Компания Destiny Media выпустила новую версию торрент-клиента Zona, 1.0.2.6 от 04.06.2014 года.
  2. Destiny Media продолжает сотрудничество с torrentino.com, сайт распространяет установочные файлы Zona, равно как и установочные файлы торрент-клиентов иных производителей.
  3. Папка %Program Files%\Java создаётся только для Windows версий Vista и выше, в случае ошибки установки либо наличия Windwos XP на компьютере пользователя Java Runtime Engine устанавливается в папку %Program Files%\Zona\jre (локально, только для использования её в торрент-клиенте Zona), версия пакета во всех случаях- 8.0.5.13 (Java SE 8 Update 5).
  4. Ключи реестра HKEY_CLASSES_ROOT\.bctpuri, HKEY_CLASSES_ROOT\.bcuri более не создаются.
  5. В версии, загружаемой с torrentino.com, теперь видна разница между «быстрой» и «расширенной» версиями установки торрент-клиента, страница с дополнительными настройками торрент-клиента Zona (рисунок 6) появляется только при использовании «расширенной» версии.

Поведение, свойственное опасному (вредоносному) программному обеспечению, включая: шпионскую активность (отправка каких-либо сведений на удалённый сервер), установку вредоносных программ, установку руткитов, работу в качестве кейлоггера, трояна или червя, заражение исполняемых файлов, либо атак на целостность данных либо системы в целом, не обнаружено.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *