Как удалить frigate из яндекс
Перейти к содержимому

Как удалить frigate из яндекс

  • автор:

Яндекс отключил вредоносные расширения SaveFrom и Frigate

Есть такие расширения SaveFrom.net, Frigate Light и Frigate CDN для Яндекс.Браузера и Google Chrome. Эти расширения начали блокироваться Яндекс.Браузером как опасные, содержащие вредоносный код.

Началось все с того, что кто-то из пользователей пожаловался на странное поведение Яндекс.Браузера и когда сам Яндекс об этом узнал, то компания обратилась в лабораторию Касперского для совместного разбора ситуации.

Как выяснилось, расширения SaveFrom.net, Frigate Light и Frigate CDN скрыто получали доступ к oAuth-токенам ВКонтакте и использовали эту возможность для накрутки просмотров у всяческих роликов и т.п. Расширение SaveFrom.net вообще делало куда проще: воспроизводило рекламу в скрытом фоновом режиме, а иногда так криво-косо, что пользователь начинал это слышать.

Я еще примерно в сентябре-октябре заметил совпадение, что моя страница ВКонтакте появлялась в онлайне в то время, когда я точно не мог быть онлайн. И немного покопавшись, я вычислил что виновато в этом было расширение Frigate Light. Тогда я его просто удалил и проблема исчезла. Но я то думал, что это только у меня была такая проблема. Оказывается, данные расширения намеренно вели вредоносную активность без ведома пользователя.

Теперь, данные расширения будут блокироваться браузерами и всем, у кого установлены расширения SaveFrom.net, Frigate Light и Frigate CDN — крайне рекомендуется их удалить, так как они потенциально опасны по той причине, что неизвестно какая информация может утечь с помощью этих расширений.

Думаю, конец 2020 года станет концом существования данных расширений (SaveFrom.net, Frigate Light и Frigate CDN), так как репутация у них уже подмочена и вряд ли кто-то захочет больше связываться с этими расширениями даже после того, как их нечестные на руку разработчики, удалят вредоносную часть кода. Интернет помнит все. Поэтому удаляйте расширения SaveFrom.net, Frigate Light и Frigate CDN из своих браузеров и поделитесь данной информацией с друзьями. Мошенникам нельзя давать второй шанс — они не исправятся никогда.

Расширения savefrom.net и frigate не работают. Почему их блокирует «Яндекс».

яндекс заблокировал frigate и savefrom

О frigate

Автор admin На чтение 4 мин Просмотров 15.9к. Опубликовано 05.04.2021

Расширения savefrom.net и frigate не работают. Почему их блокирует «Яндекс». В конце декабря 2020 года у пользователей Яндекс Браузера перестали работать расширения savefrom.net, frigate cdn и frigate light и некоторые другие. На тот момент аудитория пользующаяся этими расширениями составляла около 8 миллионов человек. Причиной всему явилось обнаружение запрещенного кода в расширениях.

яндекс заблокировал frigate и savefrom

Предпосылки

В компанию Яндекс посыпались жалобы от пользователей, о том что в браузере стали появляться звуки рекламы без видимых на то причин. При этом видеоролики которые могли издавать подобные звуки отсутствовали.

жалобы пользователей яндекса на frigste и savefron

Разработчики «Яндекса» предположили, что возможно звуки рекламы исходят из-за пределов видимой части экрана, но после опроса пользователей гипотеза не подтвердилась.

После анализа жалоб пользователей, оказалось что все их объединяет наличие в браузерах одного из сторонних расширений — savefrom.net, frigate cdn или frigate light. При отключении которых пропадали все рекламные звуки и больше не появлялись.

Сотрудники службы кибербезопасности «Яндекса» связались с разработчиками расширений, которые в свою очередь внесли исправления в свои плагины. После обновления расширений, жалобы на звук от пользователей прекратились. Но на этом история не заканчивается…

Несмотря на отсутствие жалоб на звуки, начались жалобы на большую нагрузку системы и огромный расход трафика при использовании браузера. Команда антифрода Яндекса выявила попытки использования аудитории браузеров, для накрутки просмотров видео в онлайн-кинотеатрах. Видеоролики проигрывались в фоне и без звука. Во всех браузерах проблемных устройств, фигурировали все те же расширения, после отключения оных, нагрузка на систему пропадала «волшебным образом». Детально изучив код расширений специалисты выдали заключение, что именно коды этих расширений приводят к скрытому запуску видео.

Что опасного было в расширениях.

Frigate

Все версии расширения frigate (CDN и Light) имели общий кусок кода. Который отвечал за динамическую подгрузку и исполнение JS-скриптов. При этом функционал кода был очень хитроумно запрятан. Что противоречит правилам размещения приложений в Chrome Web Store, в магазинах которого присутствовало данное расширение.

код frigate 1

Код совершал запрос по адресу frigate.org/config.txt после чего получал адрес командного сервера для дальнейшей работы. Это позволяет менять адреса серверов без полного обновления расширения, по мере необходимости. При анализе кода сотрудниками «Яндекса» — командный сервер был — gatpsstat.com

gatpsstat

По факту каждый час расширение отправляло запрос в командный сервер. После получения зашифрованного ответа из центра, происходила декодировка с последующим выполнением произвольных JS-скриптов.

код frigate 2

SaveFrom.net

При анализе кода расширения SaveFrom, в файле background.js, встречается строчка кода «x = m(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)»

общий кусок кода frigate и savefrom совпадение

Эта строка аналогична коду из расширения frigate «k = fromCharCode(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)».

Оказался общим не только код, но и командный сервер у расширения — gatpsstat.com

gatpsstat

Совпадение? — Не думаю!

Итоги

Все проанализированные расширения имели возможность выполнять динамические JS-коды, получаемые от разработчиков. Причем эти коды могли не только воспроизводить скрытые видео в беззвучном режиме, но угрожать безопасности пользователей. Вплоть до распространения персональных данных. Подгружать можно было все что угодно.

Исходя из всех имеющихся данных, сотрудники Яндекса посчитали данное поведение дополнений потенциально опасным и недобросовестным. Поэтому решили отключить уже установленные расширения savefrom.net, frigate cdn и frigate light в Яндекс браузере. Пользователи получили уведомления, с подробностями отключения. После чего продолжить работу с расширением все равно получится, но уже на свой страх и риск.

Помимо этого результаты проверки были переданы в «Лабораторию Касперского», в которой незамедлительно приняли меры, и службе безопасности Google.

В ходе проводимых исследований было выявлено около 30 менее распространенных браузерных дополнений использующих схожий код. Которые были так же заблокированы.

Список id заблокированных расширений

acdfdofofabmipgcolilkfhnpoclgpdd (VDP: Best Video Downloader)

oobppndjaabcidladjeehddkgkccfcpn (Y2Mate — Video Downloader)

Яндекс.Браузер отключил расширения SaveFrom, Frigate Light, Frigate CDN из-за потенциально опасной активности

В таких популярных расширениях как SaveFrom.net, Frigate Light и Frigate CDN, насчитывающих аудиторию пользователей свыше 8 млн, обнаружена потенциально опасная деятельность. Разработчики Яндекс.Браузера отключили перечисленные расширения

Эксперты из компаний «Яндекс» и «Лаборатория Касперского» обнаружили потенциально опасную деятельность в расширениях SaveFrom.net, Frigate Light и Frigate CDN и других – было выявлено более двадцати опасных расширений. Источник установки расширений значения не имел.

Поводом для начала исследований расширений стали многочисленные жалобы со стороны пользователей Яндекс.Браузера.

Дополнения Яндекс.Браузера

В ходе исследования было обнаружено, что популярное расширение для загрузки видео – SaveFrom.net воспроизводило фоновую аудиорекламу, при этом открытых вкладок с аудиорекламой не было. После запроса к разработчику расширения, данная проблема была исправлена.

Спустя некоторое время и входе дальнейшего исследования было обнаружено, что некоторые расширения значительно потребляют сетевой трафик и ресурсы компьютера. Экспертами было установлено, что расширения, в том числе SaveFrom.net, Frigate Light и Frigate CDN, в фоновом режиме, тайно, воспроизводили видео из онлайн-кинотеатров для накрутки просмотров. При этом постороннего звука не было.

По сообщению специалистов, перечисленные расширения так же имели функцию перехвата oAuth-токенов «ВКонтакте».

Стоит отметить, что потенциально опасная деятельность расширений прекращалась при открытии адреса технической поддержки Яндекс.Браузера или при открытии служебной страницы для анализа трафика.

Результат анализа работы данных расширений передан в компанию «Google», «ВКонтакте» и разработчикам популярных браузеров.

«Лаборатория Касперского» подтвердила потенциально опасную деятельность расширений, теперь антивирусные продукты компании обнаруживают угрозу, при использовании данных расширений, и блокируют URL-адреса и фрагменты скриптов.

Несмотря на отключение опасных расширений, пользователи могут их снова включить, но компания не рекомендует этого делать.

Список id отключенных расширений
acdfdofofabmipgcolilkfhnpoclgpdd oobppndjaabcidladjeehddkgkccfcpn aonedlchkbicmhepimiahfalheedjgbh aoeacblfmdamdejeiaepojbhohhkmkjh eoeoincjhpflnpdaiemgbboknhkblome onbkopaoemachfglhlpomhbpofepfpom inlgdellfblpplcogjfedlhjnpgafnia ejfajpmpabphhkcacijnhggimhelopfg pgjndpcilbcanlnhhjmhjalilcmoicjc napifgkjbjeodgmfjmgncljmnmdefpbf glgemekgfjppocilabhlcbngobillcgf klmjcelobglnhnbfpmlbgnoeippfhhil ldbfffpdfgghehkkckifnjhoncdgjkib mbacbcfdfaapbcnlnbmciiaakomhkbkb mdnmhbnbebabimcjggckeoibchhckemm lfedlgnabjompjngkpddclhgcmeklana mdpljndcmbeikfnlflcggaipgnhiedbl npdpplbicnmpoigidfdjadamgfkilaak ibehiiilehaakkhkigckfjfknboalpbe lalpacfpfnobgdkbbpggecolckiffhoi hdbipekpdpggjaipompnomhccfemaljm gfjocjagfinihkkaahliainflifnlnfc ickfamnaffmfjgecbbnhecdnmjknblic bmcnncbmipphlkdmgfbipbanmmfdamkd miejmllodobdobgjbeonandkjhnhpjbn

Не могу убить Yandex.Sovetnik

Система может получать Yandex.Sovetnik при обновлении одной из установленных программ.
Программа обновляется. и вы получаете советник.
в сети должна быть информация в состав каких программ ( или расширений ) он входит.
Прочтите, что они сами пишут: https://browser.yandex.ru/help/recommendation/sovetnik.html

Изменено: RP55 RP55 — 15.10.2020 02:24:47

Сергей Шерстнев

Пользователь
Регистрация: 15.10.2020
Размещено 15.10.2020 02:29:21

Цитата
RP55 RP55 написал:
Система может получать Yandex.Sovetnik при обновлении одной из установленных программ.
Программа обновляется. и вы получаете советник.
С сети должна быть информация в состав каких программ он входит.
Прочтите, что они сами пишут: https://browser.yandex.ru/help/recommendation/sovetnik.html

Спасибо, но у меня никогда не было явно работающего оригинального советника. и, в принципе, уже удалены все расширения из Chrome

Пользователь
Баллов: 4988
Регистрация: 25.05.2010
Размещено 15.10.2020 12:15:26

В uVS выполните.
Дополнительно > Очистить корзину, удалить временные файлы. Alt+Del
+
Далее лог в FRST: http://forum.esetnod32.ru/forum9/topic2798/

Сергей Шерстнев

Пользователь
Регистрация: 15.10.2020
Размещено 15.10.2020 14:14:42
Все выполнил.
Пароль к архиву отправил личным сообщением.

Сергей Шерстнев

Пользователь
Регистрация: 15.10.2020
Размещено 15.10.2020 14:16:02
Прикрепленные файлы

  • FRST_201015.zip (32.24 КБ)

Пользователь
Баллов: 4988
Регистрация: 25.05.2010
Размещено 15.10.2020 16:39:42

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
.
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

ContextMenuHandlers1: [ FileSyncEx] -> => -> No File ContextMenuHandlers1: [BriefcaseMenu] -> => -> No File ContextMenuHandlers3: [] -> => -> No File ContextMenuHandlers4: [ FileSyncEx] -> => -> No File ContextMenuHandlers5: [igfxcui] -> => -> No File ContextMenuHandlers6: [BriefcaseMenu] -> => -> No File SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1001 -> DefaultScope URL = hxxps://yandex.ru/search/?text=&clid=2233627 SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1001 -> URL = hxxps://yandex.ru/search/?text=&clid=2233627 SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1004 -> DefaultScope URL = hxxps://yandex.ru/search/?text=&clid=2233627 SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1004 -> URL = hxxps://yandex.ru/search/?text=&clid=2233627 FirewallRules: [] => (Allow) C:\Users\Sergey\AppData\Roaming\Zoom\bin\airhost.exe => No File FirewallRules: [] => (Allow) C:\Users\Sergey\AppData\Roaming\Zoom\bin\airhost.exe => No File HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction "hxxps://www.google.ru/search?newwindow=1&ei=KLrzXvrkMqLCmwWbiovwDg&q=cureit+download&oq=%D1%81%D0%B3%D0%BA%D1%83%D1%88%D0%B5&gs_lcp=CgZwc3ktYWIQAxgBMgYIABAKECoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAo6AggAOgYIABAKEB46CAgAEAUQChAeUIATWI0jYIUzaABwAHgAgAFSiAGjA5IBATeYAQCgAQGqAQdnd3Mtd2l6&sclient=psy-ab","hxxps://z-oleg.com/secur/avz/download.php","hxxps://www.google.com/search?q=sdfsfsdfas&oq=sdfsfsdfas&aqs=chrome..69i57j0l6.747j0j7&sourceid=chrome&ie=UTF-8","edge://newtab/" EmptyTemp: Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система.
и
Пишем по _общему результату лечения.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *