µTorrent 2.2.1 vs. ESET a detekce PUA (smyšlená hrozba) Článek sepsán 25.10.2018 poskládáním několika příspěvků z fóra. Později doplněn 28.01.2020 a 20.02.2022. Pocit velké nasranosti, frustrace a blížící se rezignace... Inu jak začít? Mnoho uživatelů používá uTorrent 2.2.1 a žádný bezpečnostní problém s ním nemá. Mnoho uživatelů používá ESET a považuje jej za špičku svého oboru a věří mu. Já do pondělí 15.10.2018 taky. To jsem byl ubezpečen, že to ESET myslí vážně... Od soboty 13.10.2018 mě začali uživatelé uTorrent 2.2.1 bombardovat, že jim ho ESET blokuje s tím, že obsahuje potencionálně nechtěný program / PUA, konkrétně Toolbar.Conduit.AX / uTorrent.ourtoolbar.com / OpenCandy. Jak to tedy je? uTorrent je produktem firmy BitTorrent Inc., nikoli mým. Já jsem překladatelem do češtiny. Provozuji také web české podpory. Poté, co BitTorrent Inc. koupil klienta uTorrent od původního autora, jímž byl švédský programátor Ludvig Strigues, bylo jasné, že se dříve či později stane komerčním produktem. V průběhu let jsme se setkali s různým opt-out adware. Co je to opt-out adware? V případě uTorrent to byla mimo jiné např. vyhledávací lišta do internetového prohlížeče. Opt-out znamená, že během instalace má uživatel možnost zrušením zaškrtnutí políčka instalaci tohoto adware odmítnout. Adware (pokud tedy není agresivní) pomáhá financovat vývoj softwaru, který se vám tak dostává zdarma. Tento způsob licencování či distribuce využívá mnoho bezplatných programů. I třeba Avast nabízí instalaci Google Chrome. Avast je tedy také potencionálně nechtěný program? Ve verzi 3.4.2.38913 udělal BitTorrent Inc. podraz na uživatele, kdy se s uTorrent bez vědomí uživatelů nainstaloval miner EpicScale a tajně těžil LiteCoin (cryptoměna jako BitCoin). Program uTorrent se dá spouštět i pomocí voleb z příkazové řádky, viz uživatelský manuál. Mimo jiné jsou to /NOCANDY a /NOINSTALL. Prvním z nich zabráníte instalaci adware. Druhým zabráníte spuštění integrovaného instalátoru. V květnu 2013 jsem se rozhodl, že samotný soubor programu "utorrent.exe" zabalím spolu se souborem překladu "utorrent.lng" a některými dalšími pomocnými soubory do vlastního instalátoru. Při instalaci dojde k rozbalení do určené složky a prvotnímu spuštění programu uTorrent s parametrem /NOINSTALL. Dále díky načtenému přiloženému souboru konfigurace "settings.dat" bude deaktivováno zobrazování reklam v uTorrent. Takže žádný adware ani reklamy. Během let jsem se setkal s mnoha falešnými detekcemi ze strany antivirových firem. Kaspersky Lab, G Data Service, MicroWorld Software Services, Symantec, Bitdefender, 360 Total Security, znovu Symantec, znovu Bitdefender, AegisLab, ClamAV, znovu Bitdefender. Všem stačilo jednou napsat, uTorrent 2.2.1 (včetně mé poslední modifikace) proklepli a dali na whitelist. Pak bylo dlouho ticho. Až do teď, kdy začal řádit ESET... Jak už jsem se zmiňoval, nejsem autorem uTorrent. Za ta léta (od října 2005) tento program známe. Víme, že nejpovedenější je verze 2.2.1 (poslední build 25534 je ze srpna 2011) a že s 3.x jsou problémy. Jenže verzi 2.2.1 skončila podpora a dál není vyvíjena. Část její funkcionality navázané na webové služby skončila. Proto jsem se rozhodl hexaeditorem nahradit nefunkční webové adresy vlastními. Popis změn je rozepsán v samostatném příspěvku na fóru. Aby se dala ověřit autentičnost české modifikace, opatřil jsem ji vlastním self-signed certifikátem. Poslední změna "utorrent.exe" proběhla 22. února 2015 22:30:00 (časové razítko). Krátce po vydání verze 3.0 (asi začátek roku 2012) byla postupně ukončena podpora verze 2.2.1. Mimo jiné to znamenalo i pozdější znefunkčnění vestavěných odkazů na instalaci opt-out adware. Tím pádem od tohoto okamžiku se stává uTorrent 2.2.1 zcela bezpečnou aplikací bez adware. Rozsáhlejší úvod už tedy máme za sebou. Pusťme se tedy do aktuálního problému, kterým je falešná hrozba detekovaná ESET antivirem. "Odborníci" z této antivirové laborky totiž v programu uTorrent 2.2.1 teprve po 7 letech od jejího vydání objevili v kódu obsažené odkazy na adware. Že jsou ty odkazy mnoho let mrtvé, si nenechají vymluvit. Argumentují nesmysly. První část kódu, kterou mi zaslali, obsahuje odkaz http://download.utorrent.com/offers/ut-en-conduit-20101222.exe, který končí na stránce 404. Na Twitter hodily další část zdrojového kódu programu. Tentokrát musím přiznat, že se opravdu jedná o "zákeřný, počítač devastující malware", přesněji čistý text psaný v HTML obsahující informace o možnosti instalace adware a dva odkazy na licenční podmínky / EULA http://uTorrentbar.ourtoolbar.com/EULA/ a na podmínky ochrany osobních údajů http://uTorrentbar.ourtoolbar.com/privacy/ . Kód zmiňuje také název aplikace OpenCandy. Nic z toho nepředstavuje hrozbu. Výše zmíněné antivirové laborky uTorrent řádně proklepli. Uživatelé za ta léta taky. Ale nyní tu máme hrozbu. Napíšete do ESETu jednou a čekáte, že tu falešnou detekci napraví. A ouha. Místo toho odpověď, že obsahuje nechtěnou aplikaci a že krom ESET to na VirusTotal také detekují takové věhlasné antiviry jako Cylance a Cyren. Napsal jsem jim tedy znovu, že uTorrent žádný škodlivý kód neobsahuje a ať raději srovnávají své detekce s Kaspersky, Symantec, Avast. Dne 15.10.2018 jsem dostal z ESET od Vojtěcha M. další email. Vítězoslavně je mi předhozena část kódu programu, obsahující text zmiňující Torrent Browser Bar a již zmíněný nefunkční odkaz na jeho stažení, dále pak text zmiňující tisíce volných aplikací - uTorrent skutečně měl obchod se zásuvnými aplikacemi, které si uživatel mohl vybírat a doplňovat do uTorrent, stejně jako vy si nyní přes Google Play přidáváte aplikace do svého Androida (uživatelé iPhone mají svůj Store). Takže další fundovaná odpověď. Bohužel ESET nyní jedná z pozice síly. Když se rozhodne cokoli (myšleno software) sejmout, tak ho hodí na černou listinu a nikdo s tím nic nenadělá. Mísilo se ve mně mnoho pocitů (bezmoc, neskutečná nasranost, frustrace). V podvečer jsem zašel s kamarádem na pivko a malé jídlo. Večer jsem se vrátil domů a dal se do dalšího sepisování argumentů. Místo oslovení mi mozek posouval hodně jadrné vulgarity. Přeložil jsem je do mírnější formy "banda debilních kokotů" a pokračoval v argumentaci, proč je to falešný poplach. Následoval údiv nad způsobem manipulace s takto drobně závadným softwarem (PUA není malware, který je nutno bez milosti hodit do karantény). Doplnil jsem upozornění, že s ESETem u svých zákazníků končím (marginální škoda pro kolos ESET, ale jde o můj princip). Celé jsem to zakončil "Běžte s tím do prdele! I s tím vaším přístupem..." Pak jsem si zkontroloval pravopis a začal váhat... Ne, rychle prásknout na "Odeslat", než si to rozmyslím, ať znají mé pocity... Dne 17.10.2018 jsem z ESET kupodivu dostal další email. Chybně jsem předpokládal, že to shodí ze stolu. A tak je tu další kolečko informací s odkazem na Twitter, kam mi poslali další úryvky kódu. Pavel M. zmínil zklamání nad mým způsobem komunikace i politování, že jsem následující den (po vychladnutí) opis toho mého nasraného emailu stáhl z webu, že by si o mě udělali další uživatelé obrázek. Rozhodl jsem se tedy, že celou tuto kauzu sepíšu a zveřejním včetně těch vulgarit. Omluvu za ně nežádá, i když, jak píše, byla by na místě. Já se za své činy ve většině případů neomlouvám. Protože jsou zpravidla činěny s rozmyslem i s vědomím, že za ně mohu nést následky. Rezignoval jsem. Včera jsem první část zaslaného závadového kódu (nefunkční odkaz na .exe) z programu vymazal. Dnes jsem zkoušel další zaslané části kódu. Jak jsem zmínil, nejsem programátor ani autor. Dělal jsem to v hexaeditoru co nejšetrněji. Jenže programu se tyhle brutální zásahy přestaly líbit a začal havarovat. Na web jsem vrátil verzi z 2015. Kašlu na to. Děj se vůle Boží... ESET nepřesvědčím... Takže kolegové, virtuální přátelé, už i já s vámi začínám souhlasit. Je čas opustit zastarávající uTorrent 2.2.1 a vrhnout své síly a další tisíce nikdy nezaplacených hodin práce novému projektu - klientovi qBittorrent. A ještě jedna věc, ESET u mě klesl na kvalitativní úroveň těch antivirů, se kterýma se srovnávají na VirusTotal. Nikoho do odchodu od ESET nenutím. Je to vaše volba. Já spokojeně používám Avast, od roku 2010 Free verzi, od roku 2014 Internet Security (i když taky měl svá slabší období). Doporučit mohu i Kaspersky, který jako jediný (alespoň já o jiném nevím) férově hlásá ve spodní části svého reklamního banneru: "Nic vám nezaručí úplnou ochranu, buďte proto na internetu opatrní". Dne 25.10.2018 mi Jiří R. tlumočil vzkaz z ESET laborky. Podle kolegů došlo pouze k přepsání části řetězců v programu a hrozba je stále detekována. Doslovné vyjádření: "Detekcia je urobena tak, ze ked subor dostatocne precisti, prestane sa detegovat. Stale v subore vidno retazce ako Conduit a OpenCandy." Ano, v programu je část kódu, která se stará o stažení adware z webu. Tuto část kódu jsem skutečně v programu ponechal, protože nejsem autorem ani programátorem a nedovedu ji bezpečně odstranit. Co jsem udělal, je bezpečná úprava, odstranění odkazů, ze kterých dříve (nyní jsou mrtvé) mohlo dojít ke stažení adware. Takže i kdyby došlo k reaktivaci původních souborů na webu, díky zrušení odkazů se nemá co odkud stáhnout. Ale to už se opakuji... V ESET myslí jen na shodu jedniček a nul v části kódu bez jakýchkoli dalších souvislostí... Usoudil jsem, že než ukecat laborku ESET je snazší naházet hrách na zeď a porazit v boji větrné mlýny... ESET jsem neukecal, přesto už je µTorrent 2.2.1 čistý Podíval jsem se pomocí Sněhuláka do kódu uTorrent. Vzal opět hexaeditor a provedl "Texaský masakr motorovou pilou" (film jsem k dnešnímu dni neviděl). Brutálně jsem přepsal nulami 4 kB kódu. Projel jsem to antivirem a světe div se, bez pozitivní detekce. Prohnal jsem to i přes VirusTotal. Zůstává jediná pozitivní detekce Unsafe/Nebezpečné od Cylance, který detekuje bůhví co. Pak jsem začal testovat funkčnost včetně originálního způsobu instalace. Nakonec jsem ho na dvě hodiny nasadil do ostrého provozu. Vypadá to, že je vše plně funkční (žádné zhavarování se nekonalo a sdílení probíhalo normálně). Soubor: utorrent.exe Velikost: 414.656 Byte Datum a čas dig. podpisu: 25. říjen 2018 20:00:00 SHA256: eb1f1ccf4e12aa66d2cdf9b1785a4b3be26ac3d4832a0387e82aaa1614b4706f --- 28.01.2020 --- ESET a detekce Win32/uTorrent.D Tak dnes 28.01.2020 už pozitivní detekce jak na VirusTotal, tak i OnlineScanner. Soubor: utorrent.exe Verze: 2.2.1 (25534) Velikost: 414.656 Byte Datum a čas dig. podpisu: 25. říjen 2018 20:00:00 SHA256: eb1f1ccf4e12aa66d2cdf9b1785a4b3be26ac3d4832a0387e82aaa1614b4706f ESET OnlineScanner: varianta Win32/uTorrent.D potenciálně nechtěná aplikace Tohle je magořina jejich umělé inteligence. A nejen té umělé... A vy jim za tenhle sračkovej antivirus ještě platíte... Hlavně, že se kasali, že po odstranění "závadového" obsahu detekce ustanou. Ano. Ale vydrželo jim to jen rok... Soubor: utorrent.exe Verze: 3.1.3 (26837) Velikost: 740.288 Byte Datum a čas dig. podpisu: 17. červen 2019 20:00:00 SHA256: 2d8d5935f8cd22c113d6d263306dc7567b2c9bc74fabd290882d83b63518665a ESET OnlineScanner: Neobjevili jsme žádný vir ani jinou havěť. Tak schválně. Jak dlouho to tak zůstane, než si to ESET rozmyslí, a i tuto verzi odstaví? --- 20.02.2022 --- ESET ani další stupidní laborky už neřeším. Spolupracuji s laborkou českého antiviru AVAST. Ta mi vždy soubory důkladně prověřila a označila za čisté. Už jsem myslel, že žádné další úpravy uTorrent dělat nebudu. Ale ouha. S rozmachem 4K monitorů se vyskytl problém se zobrazením v režimu DPI scaling. A tak ta úplně poslední úprava řeší právě toto. Soubory jsou nově podepsány důvěryhodným certifikátem Sectigo Public Code Signing CA, aby nebylo pochyb o jejich autentičnosti. Za tyto podepsané soubory se zaručuji, že neobsahují žádný malware. Soubor: utorrent.exe Verze: 2.2.1 (25534) Velikost: 427.312 Byte Datum a čas dig. podpisu: 20. únor 2022 20:00:00 Sectigo Public Code Signing CA SHA256: 3ba45fe242fe4594183b09e1d924bbb705a0f8c0cc60fe2d0b0d6f6c890cf612 Soubor: utorrent.exe Verze: 3.1.3 (26837) Velikost: 752.432 Byte Datum a čas dig. podpisu: 20. únor 2022 20:00:00 Sectigo Public Code Signing CA SHA256: 46d2e6709b0fa42286e0c629c56be867c84b49071fd94584bcfe679bb74793c2 --- Závěr --- Vezměte ale na vědomí, že tyto verze uTorrent jsou staré 10 let. Software se neustále vyvíjí a získává nové funkce. A tak zvažte, zda nenastala doba k otestování a případně k přechodu na výborného open source klienta qBittorrent. Na VirusTotal je zcela čistý a tak nemusíte svou bezpečnost stavět jen na důvěře k mé osobě, jak tomu je v případě mých modifikací uTorrent. emc, uTorrent.CZ