Savefrom net чем опасен
Удалите браузерные расширения SaveFrom.net и Frigate — они очень опасны
Команда «Яндекса» убрала из «Яндекс.Браузера» поддержку расширений SaveFrom.net, Frigate Light, Frigate CDN и нескольких других с суммарной аудиторией более 8 миллионов человек. Эти расширения были отключены в браузере даже у тех, кто их установил.
SaveFrom.net используется для скачивания видео с различных сайтов, а расширения Frigate предназначены для доступа к сайтам, заблокированным в России.
Как выяснилось, в расширениях SaveFrom.net и Frigate содержится скрипт, который запускает вредоносный код по команде от удалённого сервера. Команды могут меняться — одна из них, к примеру, используется для накрутки просмотров видео на различных сервисах. Видео воспроизводится фоном без изображения и звука, из-за чего пользователь не замечает ничего, кроме возросшей нагрузки на системные ресурсы компьютера и увеличенный расход трафика.
Вредоносный скрипт в расширениях также способен тайно перехватывать токены от соцсети «ВКонтакте», что в теории позволяет осуществлять взлом аккаунтов.
«Яндекс.Браузер» совместим с раcширениями, выложенными в Chrome Web Store. Этот магазин также служит источником расширений для некоторых других браузеров на базе Chromium, включая Chrome. Расширения SaveFrom.net и Frigate также доступны для Opera, Firefox, Safari и Edge.
Отзывы о Frigate из Chrome Web Store:
«Лаборатория Касперского» подтвердила «Яндексу» наличие вредоносной составляющей в указанных расширениях, теперь продукты компании определяют их как угрозу и блокируют связанные с ними URL-адреса и фрагменты скриптов.
В настоящее время только «Яндекс» принял меры по отключению вредоносных расширений из своего браузера. В «Яндекс.Браузер» их невозможно установит, а в остальных браузерах они не отключены и по-прежнему могут работать.
Яндекс отключил расширения с аудиторией в 8 млн пользователей. Объясняем, почему мы пошли на такой шаг
Сегодня мы приняли решение отключить расширения SaveFrom.net, Frigate Light, Frigate CDN и некоторые другие, установленные у пользователей Яндекс.Браузера. Совокупная аудитория этих инструментов превышает 8 млн человек.
В этом посте мы расскажем о причинах и поделимся с сообществом результатами анализа деятельности расширений. Вы узнаете про тайное воспроизведение видео из онлайн-кинотеатров с целью накрутки просмотров. Увидите фрагмент кода, содержащий механизм для перехвата токенов социальных сетей. Мы покажем, как организована динамическая загрузка и выполнение произвольного кода без обновления расширений.
Предыстория
Некоторое время назад пользователи Яндекс.Браузера стали обращаться в поддержку с жалобами на странный звук, который можно было принять за аудиорекламу. Примеры таких жалоб:
Общение с пользователями помогло нам понять, что источником звука на самом деле была видеореклама. Но странность заключалась в том, что никакое видео в этот момент на экране не воспроизводилось. Сначала мы подумали, что оно проигрывалось в другой открытой вкладке или за пределами видимости, но эта гипотеза не подтвердилась. Начали запрашивать у пользователей дополнительную информацию. В том числе список установленных расширений.
Так мы заметили общий признак: у пострадавших было установлено расширение для загрузки видео от сервиса SaveFrom.net. Начали тестировать. Догадка оказалась верной: отключение расширения отключало и фоновый шум. Затем связались с его разработчиками. Они высказали предположение, что это ошибки конвертера, и внесли исправления. После обновления расширения жалобы на звук прекратились.
Новая история
В ноябре команда антифрода Яндекса заподозрила неладное. Она получила сигнал о том, что кто-то использует аудиторию популярных браузеров для накрутки просмотров видео в онлайн-кинотеатрах. Пользователи видео не видели, потому что оно воспроизводилось в фоне. Тем не менее оно потребляло существенный трафик и перегружало работой вычислительные ресурсы компьютера, поэтому такое поведение нельзя назвать добросовестным.
При этом в поддержку на посторонний звук больше никто не жаловался. Это можно было легко объяснить сознательным исключением аудитории Яндекс.Браузера из целевой. Подобные попытки избежать внимания со стороны нашего антифрода мы уже неоднократно встречали в прошлом при анализе поведения расширений из Chrome Web Store (напомним, что наш браузер поддерживает установку в том числе из этого каталога).
Но всё оказалось куда проще: на этот раз фоновое воспроизведение видео проходило в беззвучном режиме. Вскоре коллеги из Службы информационной безопасности выяснили, что проблема затрагивает не только внешних пользователей нашего браузера, но и даже наших коллег. Так мы получили проблемные ноутбуки для исследования и наконец-то смогли детально разобраться в происходящем.
На проблемных устройствах наших коллег были установлены расширения SaveFrom.net, Frigate Light или Frigate CDN. Источник их установки значения не имел (SaveFrom.net мог быть установлен с сайта, а Frigate — напрямую из каталога Chrome Web Store).
Далее мы поделимся с вами результатами нашего анализа. Приведём фрагменты исходного кода и объясним суть их работы. Начнём с объяснения того, как функциональность может подгружаться в расширение без его обновления, и закончим, собственно, воспроизведением видео на компьютере ничего не подозревающего пользователя.
Динамическая загрузка и выполнение кода
Frigate
(полный код расширения доступен по ссылке)
Оба расширения из этого семейства (Light и CDN) имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Специалистам рекомендую обратить внимание на то, как хитро тут спрятана функция eval(). Кстати, обфускация кода и скрытие функциональности запрещены в Chrome Web Store.
Этот код совершает запрос по адресу fri-gate.org/config.txt и получает адрес командного сервера для дальнейшей работы. Такое решение позволяет без обновления расширения менять адреса командного сервера, если с ним что-то пошло не так. В момент нашего анализа командным сервером был gatpsstat.com.
Раз в час расширения совершают запрос к командному серверу в обработчик /ext/stat. При первом запросе им выставляется cookie, которая содержит uuid пользователя. Ответ сервера декодируется и попадает в функцию debug(), которая, по сути, является функцией eval() для выполнения JS-кода.
SaveFrom.net
(полный код расширения также доступен по ссылке)
На 19122-й строке файла background.js начинается блок сбора и выполнения кода.
Стоит обратить внимание на строку “x = m(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)”, которая аналогична “fromCharCode(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)” из расширения Frigate.
Далее идёт большой switch, который ответственен за загрузку и выполнения JS-кода.
По блокам выполнение происходит так:
Одинаковая часть для всех расширений
/ext/stat
Итак, все рассматриваемые расширения имеют возможность динамически выполнять JS-код, который они получают раз в час из обработчика /ext/stat. Этот JS-код в разные моменты времени может быть любым, сколь угодно опасным. Скрытое воспроизведение видео может быть лишь одним из множества возможных симптомов. Но поймать (и задокументировать) подобные симптомы не так-то и просто. Поначалу мы пытались дампить трафик через функциональность браузера, но это не приносило результатов. Даже начали сомневаться, что выбрали правильный путь. Обратились к более медленному, но надёжному варианту: завернули весь трафик через Burp Suite (это такая платформа для анализа безопасности веб-приложений, которая, среди прочего, позволяет перехватывать трафик между приложением и браузером).
Вскоре детальный анализ трафика принёс плоды. Оказалось, что наши предыдущие попытки получить правильный ответ были неуспешны из-за конфига dangerRules. Он содержал список адресов, после посещения которых потенциально опасная деятельность прекращалась.
Обратите внимание: сомнительная активность прекращалась, если пользователь открывал адрес поддержки Яндекс.Браузера или служебную страницу для анализа трафика. Хитро!
Расследование продолжилось. Предстояло разобраться с обработчиком /ext/up, которому и передавался конфиг. Его ответ был сжат и зашифрован, а код обфусцирован. Но это нас не остановило.
/ext/up
Ещё один обработчик с исполняемым кодом. Его ответ маскируется под GIF-картинку.
Расшифрованный ответ содержит JSON с тремя кусками кода. Названия блоков намекают на контекст исполнения кода: bg.js (применяется на фоновой странице расширения), page.js (используется для инъекций в просматриваемые страницы), entry_point.js (код, который отдаётся на /ext/stat).
bg.js и page.js умеют получать и внедрять в страницы iframe с video для показа рекламы. Кроме того, bg.js имеет функциональность, которая может использоваться для перехвата oAuth-токенов сервиса ВКонтакте. Мы не можем однозначно утверждать, что этот механизм в реальности использовался, но он присутствует в коде, поэтому мы рекомендуем отозвать токены для vk.com.
Кроме того, в bg.js мы видим код, который подменяет браузерный API, чтобы просмотры засчитывались даже при скрытом видео.
/ext/def
Предположительно, этот обработчик отвечает за отдачу списка текущих заданий для открутки видео. Запрос клиента и ответ сервера сжаты и зашифрованы на ключе из параметра hk.
В результате выполнения выданного задания видно, что браузер открывает видеоплеер и включает в нём видео. При этом сам видеоплеер не виден пользователю и действие происходит скрытно.
/ext/beacon
Отчёт о выполнении задания расширение отправляет на /ext/beacon. С уже знакомым нам сжатием и шифрованием.
Краткий пересказ того, что делают расширения
Повторим ещё раз всё то же самое, но кратко.
Принятые нами меры
Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).
Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов.
Также в ходе исследования было обнаружено более двух десятков менее популярных браузерных расширений, использующих аналогичный код. Их мы также отключаем. Мы призываем экспертов присоединиться к поиску и других потенциально опасных расширений. Результаты можно присылать через форму. Вместе мы сможем побороть эту угрозу.
Отзывы о программе SaveFrom.net помощник
| Загрузок всего | 272 253 |
| Загрузок за сегодня | 3 |
| Кол-во комментариев | 104 |
| Подписавшихся на новости о программе | 5 (подписаться) |
Nik про SaveFrom.net помощник 8.98 для Google Chrome [10-08-2020]
Сsavefrom в Европе можно скачать бесплатно чтобы не оштрафовали?
| 10 | Ответить
Аноним про SaveFrom.net помощник 8.98 для Google Chrome [01-08-2020]
Качает не все видео,так что вам.3/5..Рекомендую.При скачивании переносят на разные сайты в т.ч 18+ так что будьте внимательны при скачивании
1 | 1 | Ответить
дракон про SaveFrom.net помощник 5.15 для Google Chrome [07-01-2020]
Alex про SaveFrom.net помощник 5.15 для Google Chrome [16-03-2019]
SKAZKA_MARIKO про SaveFrom.net помощник 5.15 для Google Chrome [05-09-2018]
Что случилось с расширением SaveFrom? Браузер Opera отказался от него, и теперь даже ГХ при установке информирует об опасности этого расширения, мол, может причинить вред компьютеру. Пришлось отказаться от закачки.
8 | 33 | Ответить
Умник выискался про SaveFrom.net помощник 5.15 для Google Chrome [27-05-2018]
Ребята. покупайте диски. Или смотрите с инета.
Чуваки, которые лепят видео, тоже хотят кушать.
4 | 8 | Ответить
Ещё умнее в ответ Умник выискался про SaveFrom.net помощник 5.15 для Google Chrome [08-04-2020]
Это хобби, а «ребята» работать должны, если кушать хотят.
5 | 4 | Ответить
олесь про SaveFrom.net помощник 5.15 для Google Chrome [24-03-2018]
Перед названием у командной строке пишете две буквы SS (ssYoutube) и качается с удовольствием без никаких гвоздей.
3 | 20 | Ответить
ТОМ в ответ олесь про SaveFrom.net помощник 5.15 для Google Chrome [26-09-2018]
уже нет, часто пишет ссылка не найдена
7 | 3 | Ответить
Радуга в ответ олесь про SaveFrom.net помощник 8.86 для Google Chrome [08-07-2020]
С сегодняшнего дня уже не работает
| | Ответить
Валерий про SaveFrom.net помощник 5.15 для Google Chrome [13-03-2018]
Качаю с ю туба без всяких программ, посмотрите внимательно видео на ю тубе как скачать с ю туба без программ и будет вам счастье.
7 | 25 | Ответить
Безенчук про SaveFrom.net помощник 5.15 для Google Chrome [18-02-2018]
Эта параша мне куда то в систему прописала переадресацию для сайта youtube.com, стоит на него зайти, так перебрасывает на другой сайт. Нигде найти не могу, в hosts чисто, проверки всеми возможными программами результата не дают, программ левых нет, дополнений в браузере тоже. Мрази. Уже вторые сутки не могу исправить. НИКОГДА НЕ ПОЛЬЗУЙТЕСЬ ЭТИМ ДЕРЬМОМ!
8 | 3 | Ответить
Вячеслав в ответ Безенчук про SaveFrom.net помощник 5.15 для Google Chrome [22-06-2018]
Поставьте AnVir Task Manager и найдёте свою радость.
2 | 2 | Ответить
Ирина про SaveFrom.net помощник 5.15 для Google Chrome [24-01-2018]
Программа отличная! Уже столько скачала всего, даже фильмы для последующего просмотра по ТВ (иногда одновременно идёт интересный сериал и передача)Всё работает великолепно! И найти её в ПК очень легко. Наберите «savefrom» в «Поиске» и будет вам счастье. Скачивала програмку на рутрекере. Правда она там имеет статус непроверенной, но рискнула.
3 | 20 | Ответить
Влад про SaveFrom.net помощник 5.15 для Google Chrome [25-07-2017]
лариса в ответ Влад про SaveFrom.net помощник 8.81 для Google Chrome [10-05-2020]
оно само хрень и есть.
| | Ответить
Роман про SaveFrom.net помощник 5.15 для Google Chrome [30-06-2017]
Скачать любое видео просто, поставте две буквы ss вот так: https://www.ssyoutube.com и качайте на здоровье, сколь хотите!
13 | 8 | Ответить
вася в ответ Роман про SaveFrom.net помощник 5.15 для Google Chrome [25-12-2018]
qwerty про SaveFrom.net помощник 5.15 для Google Chrome [25-06-2017]
Билл Гейтс про SaveFrom.net помощник 5.15 для Google Chrome [13-06-2017]
nina в ответ Билл Гейтс про SaveFrom.net помощник 5.15 для Google Chrome [25-06-2017]
качайте уменя всё работает
3 | 3 | Ответить
Валерий в ответ Билл Гейтс про SaveFrom.net помощник 5.15 для Google Chrome [14-03-2018]
читай внимательно там ниже будет написано скачать без расширения SaveFrom.net
нажимаешь на эту запись и качаешь в формате М П 4
3 | 3 | Ответить
Игорь про SaveFrom.net помощник 5.15 для Google Chrome [08-05-2017]
После установки стали постоянно кто-то входить в vk постоянно предупреждения о смене пароля, что конечно-же не помогает, т.к. стояло данное ПО. Удали его, надеюсь проблема пропадёт.
3 | 10 | Ответить
Людвиг Ван Сыроедов про SaveFrom.net помощник 5.15 для Google Chrome [01-03-2017]
Когда-то давно скачивал с их сайта, ставил и работала без проблем в Мозилле. Сейчас сижу на портабельной версии. Ставить бесполезно. В мозилле ничего не меняется. Если нужно скачать, то лучше с офиц. сайта. Попасть на их сайт, или скачать без этой приблуды, но пользуясь их сервисом можно так: копируем адрес видео, вставляем в адресн. строку новой вкладки, и перед youtube.com ставим две s. Пример: https://www.ssyoutube.com/watch?v=HZA66GzTkdY
3 | 6 | Ответить
Мак про SaveFrom.net помощник 5.15 для Google Chrome [04-02-2017]
Олли про SaveFrom.net помощник 5.15 для Google Chrome [29-01-2017]
По всем признакам там троян или червь.
5 | 16 | Ответить
Krit в ответ Олли про SaveFrom.net помощник 5.15 для Google Chrome [29-01-2017]
Сергей в ответ Олли про SaveFrom.net помощник 5.15 для Google Chrome [02-04-2017]
Всякая дрянь какая устанавливается маил агентом и другими надоедающими элементами,(скачайте adwcleaner_6.045, скачайте прозапас установочник нужного браузера, прогуглите как удалить из планировщика заданий, запустите прогрмамму поудаляйте ВСЁ что найдёт программа, комп перезагрузиться как нажмёте Ок) после перезагрузки установите браузер, готово))) если это непомогло, значит неотовсюду удалили, лично я из процессов удалял яндех и гоогл, зачем они нужны в плонировке заданий непонимаю, поэтому и удаляю. Надеюсь комент поможет кому
7 | 3 | Ответить
Регина в ответ Олли про SaveFrom.net помощник 5.15 для Google Chrome [05-10-2018]
Абсолютно согласна, пришлось откат системы делать
2 | 2 | Ответить
OLEG про SaveFrom.net помощник 5.15 для Google Chrome [11-12-2016]
Юрий про SaveFrom.net помощник 5.15 для Google Chrome [30-11-2016]
Вирус SaveFrom.net: что это такое и как его удалить
SaveFrom.net влияет на веб-браузеры, а не на операционные системы. Он может нарушить работу всех известных веб-браузеров, включая Google Chrome, Mozilla Firefox, Safari, Opera, Chromium и Яндекс.Браузер.
Что такое вирус SaveFrom.net?
Вирус SaveFrom.net является раздражающей формой рекламного / вредоносного программного обеспечения, которая изначально может иметь полезную цель, но также приносит с собой несколько всплывающих окон с рекламой, перенаправлениями и уведомлениями.
В одиночку это просто раздражает, а не опасно, но может открыть ваш компьютер для рисков, связанных с просмотром небезопасных рекламных объявлений, таких как более гнусные вирусы или трояны.
Как работает SaveFrom.net?
На первый взгляд, SaveFrom.net выглядит как обычный инструмент. Его веб-сайт предназначен для загрузки видео со страниц обмена видео, таких как YouTube. Пользователи просто предоставляют ссылку на видео, выбирают формат и затем нажимают кнопку загрузки, чтобы получить видео.
Тем не менее, SaveFrom.net использует многочисленные рекламные сети для показа всплывающей рекламы и баннеров. Люди, которые получают доступ к сайту, часто перенаправляются на другие сомнительные веб-сайты, которые могут привести к загрузке подозрительных файлов или переходу по тревожным ссылкам. Эта проблема усугубляется, если вы решите загрузить расширения веб-браузера, доступные через веб-сайт SaveFrom.net.
Посещение таких сайтов и клики по рекламе могут быть просто раздражающими. Однако это также делает вашу систему менее защищенной, так как если вы столкнулись с несколькими баннерами и рекламой, вы можете в итоге ошибиться и случайно открыть один из них легче, чем без вируса на вашем компьютере.
Важно быстро удалить или избежать угрозы, чтобы проблема не обострилась и не усугубилась.
Является ли Savefrom net вирусом и какие реальные отзывы о помощнике?
SaveFrom.net – популярное расширение для браузеров, установленное у десятка миллионов пользователей. Позволяет загружать фотографии и мультимедийный контент с социальных сетей, хостингов видеофайлов, новостных сайтов. Пользуясь популярностью, разработчики дополнения решили воспользоваться им для повышения прибылей. Внедрили скрытый вредоносный код, который выполняет запрещённые правилами действия.
Как была выявлена проблема с Savefrom.net
В ноябре 2020 года сотрудники Яндекса получали многочисленные сообщения, что в браузерах слышны звуки рекламы, однако самих баннеров и объявлений нет. Разработчики начали поиски проблемы, в результате анализа выяснилось, что жертв звуков рекламы объединяло наличие расширения для загрузки мультимедиа. Его отключение убирало сторонние звуки.
Сразу после исправление неполадки Яндекс уведомили, что аудиторию распространённых браузеров используют для накрутки просмотров видеороликов. Они воспроизводились в фоновом режиме без отображения вкладки. Трафик с аппаратными ресурсами компьютера такие просмотры потребляли. Аналитическая работа выявила замаскированный от обнаружения вредоносный код в расширениях Frigate и SaveFrom.net, а позже их число возросло до 20 штук.
Задачу упростило то, что сами сотрудники Яндекса стали жертвами мошенников.
Опасность расширения SaveFrom в браузере
Дополнение содержит код для выполнения Java-скриптов, спрятанный от обнаружения, что запрещено политикой магазина дополнений для Chrome. Расширение обращалось к текстовому документу по адресу sf-helper.com/static/ffmpegsignature, где получало ссылку на командный сервер, откуда ему передавались инструкции. Ежеминутно соединялся с gatpsstat.com и выполнял принимаемый код, написанный на JavaScript.
Антивирус Касперского блокирует поминутные несанкционированные переходы на сервер для получения инструкций.
На расследовании накрутки просмотров представители службы безопасности Яндекса не остановились. И дальнейшая работа дала плоды.
SaveFrom признан вирусом
Изучение трафика через сервис для определения безопасности трафика выявило адреса, посещение которых вынуждало скрипт прекращать «грязную» деятельность. Это службы поддержки Яндекса и сервисы для анализа трафика. Информация обработчиков шифруется и маскируется под безобидные картинки. В его коде также обнаружились команды для перехвата процесса авторизации ВКонтакте – пароли с логинами уходили к злоумышленникам.
Специалисты компании отключили Frigate и Savefrom.net в Яндекс.Браузере без возможности активации. Пользователи получают уведомления о вредоносном коде при включении дополнений.
Результаты исследований переданы в лабораторию Касперского и Google. Все программы для безопасности от Каперского определяют СавеФром как вирус. Официального ответа от Google нет.
Ничего не поняли? Фрагмент вредоносного кода.
Если после полученной информации решили обезопасить себя, удалите расширение, инструкция здесь.
Чем можно заменить Сейвфром, чтобы скачать видео?
Дополнение исправно функционирует в браузерах: Mozilla Firefox, Opera, Google Chrome. Если не желаете изменять привычкам, замените Помощника SaveFrom.net на сервис или программу, о которых рассказано по ссылке. Для сохранения единичных видеороликов с Instagram и YouTube подходят альтернативные программы.
Реальные отзывы о SaveFrom.net
Мы выбрали самые интересные из последних отзывов о SaveFrom.net.
Не удивительно, что расширение, которое парсит страницы, использует полученную информацию в своих целях. У меня Мозила, ничего подобного не замечал, хм.
Я думаю, почему антивирус поминутно блокирует переходы gatpsstat.com. Блокировал сайт в hosts, сканировал компьютер на вирусы, SaveFrom.net не определялся как вредоносный код. Только после выключения дополнений проблема исчезала. Я был близок к разгадке.
И чему удивляетесь, когда жмёте «Разрешить» или «Установить», предоставляя дополнению полный доступ до информации. Все хотят зарабатывать, думайте головой, читайте условия использования приложений.