Ace Stream Media как нелегальное прокси

[Firstlevel24]

Приветствую!

Есть такая софтина, Ace stream media, позволяющая смотреть фильмы через торрент-протокол, не загружая их предварительно. Разработчик, насколько я помню, проживает на территории Украины.

В состав установки входит, собственно, движок программы, который подгружает необходимый фрагмент видео в папку с кэшем, и модифицированный для этой задачи VLC проигрыватель.

Разумеется, плеер предполагает возможность "раздавать" скачанный кэш во время просмотра другим пользователям. Именно тут и обустроена ловушка: движок программы, насколько я могу судить, использует компьютер и IP адрес пользователя в качестве прокси для закачки торрентов кем-то ещё (возможно, оформившем "премиум" подписку на других сервисах).

Как я пришёл к таким выводам? Существует сервис "iknowwhatyoudownload", где по IP адресу всем желающим предоставляется доступ к истории загруженных данных через торрент-протокол. Какое-то время назад я заметил, что там появились файлы, которые я совершенно точно не качал. Понимая, к чему это может привести (загрузке кем-то 100% криминального контента с моего IP адреса), проверил на вирусы все домашние устройства, включил в маршрутизаторе привязку устройств по мак-адресу... но история несколько раз повторилась

Через какое-то время до меня дошло, что время попадания "неизвестных" закачек в список в точности совпадает со временем запуска движка ace stream media, конкретно версии 3.1.28. Таким образом, данный софт безоговорочно является вредоносным инструментом в руках его разработчика.

К сожалению, практически все вендоры на virustotal рассматривают установочный файл Ace_Stream_Media_3.1.28 как безопасный, также как и продукты Касперского. В то время как, учитывая механизм его использования, угрозу для безопасности и благополучия пользователей, он несёт, без преувеличения, максимальную.

 

[MrPlap]

39 минут назад, Firstlevel24 сказал:

iknowwhatyoudownload

С большой вероятностью вам провайдер не выдаёт напрямую внешний белый ip-адрес, у вас вполне может быть подключение через nat, а соответственно этот сервис будет показывать то, что качают ваши соседи по провайдеру. 
Также адрес может быть и белый, но динамический и периодически меняется - соответственно вы также можете там видеть то, что качал предыдущий пользователь вашего внешнего ip. 
Ну и наконец, сам сервис тоже может ошибаться. 
Это всё конкретно моё мнение, указанной программой не пользуюсь. 

[Firstlevel24]

2 часа назад, MrPlap сказал:

С большой вероятностью вам провайдер не выдаёт напрямую внешний белый ip-адрес, у вас вполне может быть подключение через nat, а соответственно этот сервис будет показывать то, что качают ваши соседи по провайдеру. 
Также адрес может быть и белый, но динамический и периодически меняется - соответственно вы также можете там видеть то, что качал предыдущий пользователь вашего внешнего ip. 
Ну и наконец, сам сервис тоже может ошибаться. 
Это всё конкретно моё мнение, указанной программой не пользуюсь. 

IP всегда статичный, меняется раз в несколько лет, и в этом случае провайдер отдельно уведомляет об изменении настроек.

Сервис вряд ли ошибается, т. к. собирает IP, получаевшие доступ к публичному торренту (насколько понимаю, через DNT, - но не эксперт).

В принципе, воспроизводство "кейса" включает:

1. Установку соответствующей версии программы (если требуется аналитикам, могу выслать).

2. Запуск воспроизведения видео через торрент-протокол, возможно, несколько дней хотя бы раз в день по часу. Вероятно, тут влияние могут оказывать региональные блокировки.

3. Проверку конкретного IP на указанном сервисе.

Учитывая возможные последствия, домашним пользователям рисковать таким образом я бы, всё же, не рекомендовал.

Edited February 28 by Firstlevel24

[Firstlevel24]

 

Дополнение: ресурс threatinfo.net от некой GridinSoft Anti-Malware (ранее Trojan Killer) рассматривает Ace_Stream_Media_3.1.28.exe как Backdoor.Gen.

https:// threatinfo.net /files /Ace_Stream_Media_3.1.28.exe-1b7c6039d8fa843c822dc9d1964fce6d

(Всё же, на virustotal большая часть вендоров отваливается с ошибкой
Timeout - размер файла больше 80 МБ.)

[Firstlevel24]

Дополню: threatinfo.net от некой GridinSoft Anti-Malware (ранее Trojan Killer) рассматривает Ace_Stream_Media_3.1.28.exe как Backdoor.Gen. (Сообщение со ссылкой форум не пропускает, яндексится по запросу "Ace_Stream_Media_3.1.28.exe The module Ace_Stream_Media_3.1.28.exe has been detected as Backdoor.Gen".)

Также стоит обратить внимание на расширение Ace Script этой же конторы в "магазине" Гуглохрома: критическая масса жалоб на вредоносную активность разного типа.

 

Сама же Ace Stream, как и предполагалось, продаёт Премиум с функцией "Proxy Server" для торрентов, механизм работы которого, возможно, я на себе и испытал.

Edited March 1 by Firstlevel24

[Friend]

Добрый день, @Firstlevel24,
Было время когда этот софт "ловили" за внедрение/подмену рекламы/трафика и большинство антивирусных продуктов удаляло этот продукт, но с тех времен кажется что-то поменялось...

В 28.02.2024 в 13:10, Firstlevel24 сказал:

ace stream media, конкретно версии 3.1.28

А почему именно данная версия? Есть же новее 3.1.74
В данном случае рекомендую обратиться вирусную лабораторию для проверки файла с подробным описанием через службу поддержки Лаборатории Касперского, если там есть вредоносные/нежелательные действия, то добавят в базу.

[Firstlevel24]

В 28.02.2024 в 12:54, MrPlap сказал:

Ну и наконец, сам сервис тоже может ошибаться. 

Должен признать, что Вы оказались правы. При этом. попадание чьих-то загрузок действительно совпадало по времени с запуском Ace stream, буквально каждый раз, когда проверял специально. С чем это может быть связано технически — мне судить сложно, но в Сети полно жалоб именно на ложные загрузки с их постоянного IP, видел такое объяснение:

Спойлер

IKWYD строит свою статистику на поисковых запросах от узла. Но дело в том, что узлы отправляют в сеть не только свои поисковые запросы, но и ретранслируют поисковые запросы других BT пользователей; IKWYD не может сепарировать запросы по инициатору запроса, что и приводит к несуразному результату. Это основная причина наблюдаемой фейковой статистики, и это объясняет, почему сайт выдает ложную статистику и для статических ip. Эту причину сайт умалчивает, т.к. она лишает сайт какого-либо смысла и говорит о провале и некомпетентности программистов, реализовавших проект.

Фейковая статистика может генерироваться не только для BT клиентов, но и для приложений, вообще ничего не скачивающих. Например, мессенджер WireMin использует BT протокол DHT/Swarm, чтобы обнаруживать другие узлы WireMin для репликации зашифрованных данных. Участие WireMin узлов в BT сети приводит к генерации сногсшибательной IKWYD статистики для ip, на которых они работают.

Учитывая большое количество жалоб на их же расширение в гугломагазине (наиболее распространённый пункт — сами по себе открывающиеся страницы с навязчивой рекламой букмекерских контор и тому подобного, с чем и сам сталикивался лет 5-7 назад), сделал поспешный вывод об использовании разработчиками уже настольного приложения таким откровенно опасным способом.

В 03.03.2024 в 07:34, Friend сказал:

А почему именно данная версия? Есть же новее 3.1.74

После начала известных событий двухлетней давности новейшие версии время от времени принудительно включали агрессивную военную пропаганду с натуралистичным видеорядом - удовольствие сомнительное, а на старых версиях такого не было. 

Так или иначе, выяснилось, что проблема прежде всего на стороне "iknowwhatyoudownload". Тему можно закрывать, спасибо за уделённое время.