ZloBlocker

Блокировщик списков зловредных сайтов с регулярным обновлением. Большой набор списков зловредных сайтов, включая рекламу, отслеживание, фишинговые сайты и сайты, распространяющие вредоносное ПО.

Программа использует общедоступные списки доменных имен, которые связаны с:

1. Рекламой.
2. Отслеживанием.
3. Злонамеренными действиями.
4. Фишингом.
5. DNS-over-HTTPS.
6. Криптоджекингом.
7. Другими потенциально опасными направлениями.

ZloBlocker скачивает списки доменных имен и добавляет их в файл hosts. Файл hosts при этом может быть размером больше 10 мегабайт, но при современных компьютерах это не сказывается на скорости открытия сайтов в веб-браузере. В моих тестах скорость не изменилась совсем. Однако, вполне возможно, что какое-то замедление может быть, поэтому используйте программу на свой страх и риск!

Вы должны понимать, что механизм блокировки большого списка доменов через файл HOSTS не самый лучший вариант. Однако, другие блокировщики рекламы не позволяют указывать список по своему URL или могут блокировать только в веб-браузере, поэтому ZloBlocker и был реализован, фактически на коленке. 

Также не до конца понятна эффективность блокировки доменных имен через файл hosts при большом его размере.

Надеюсь, что приложение ZloBlocker побудит начать развиваться направление приложений для блокировки нежелательных ресурсов (доменные имена и IP-адреса) на ПК по спискам, которые обновляются по URL-адресу. В данный момент аналога для компьютера нет. Речь именно про обновляемые по URL списки и возможность указывать свои URL. Схожие по функционалу блокировщики рекламы не имеют списков вредоносных ресурсов, и либо не позволяют указывать свой список по URL, либо блокируют только в веб-браузере.

Многие средства защиты предлагают указывать вручную (текстом в само средство защиты) списки ресурсов для блокировки, но это вызывает смех у компетентных специалистов по информационной безопасности, так как некоторые списки нужно обновлять каждый час. Как часто вы сможете обновлять такие списки на своих рабочих станциях? Почти во всех организациях нет единой точки выхода в интернет, чтобы блокировать доступ к опасным сайтам. И это не говоря уже о том, что почти во всех межсетевых экранах нет возможности подгружать в автоматическом режиме списки доменов для блокировки по URL - указывай всё вручную. Отсутствие этой возможности вызывает истерический смех, так как встроенные списки априори неэффективны и это факт (даже у лидеров рынка). Некоторые домены заражаются вирусами и из-за этого начинают участвовать в зловредной деятельности, но очевидно, что после лечения и устранения уязвимостей данный сайт необходимо исключить из списка на блокировку, но при ручном добавлении этого никто не будет делать, как и сравнивать каких доменов нет на межсетевом экране, и какие новые появились в этом списке. Это же отдельные скрипты нужно писать, чтобы парсить список с межсетевого экрана и сравнивать со списком по вашему URL. Очевидно, что количество админов и безопасников в компаниях, которые этим будут заниматься стремится к нулю. Однако, реализовать один раз данный функционал на межсетевом экране легко и просто, но пока такого функционал нет почти на всех межсетевых экранах.

Сейчас очень большое количество фишинговых атак, которым особенно подвержены пользователи без достаточно уровня знаний в сфере информационной безопасности. Просто представьте, что рекламу в результатах поиска используют для распространения фишинговых ссылок. И пока модераторы получат жалобу и проверят её пройдёт больше суток, и это не говоря уже о том, что они почти всегда не заморачиваются с этой проверкой, то есть, если это не копия сайта известного банка, тогда всё нормально и блокировать они не увидят причин. Даже если представить идеальный мир с компетентными модераторами рекламных объявлений в поисковых системах, то злоумышленники имеют невероятное количество аккаунтов для создания новых объявлений. Они могут каждый час регистрировать новый домен - цена вопроса 99 рублей за первый год, а продлять нет смысла. Они выкупают домены заброшенных сайтов с хорошей репутацией. Иными словами, поисковые системы плохо следят за рекламой в результатах поиска, да и на самом деле и за самими результатами поиска тоже, так как до момента обнаружения зловредной деятельности на каком либо сайте злоумышленники успеют обмануть определенное количество пользователей.

Наиболее эффективны от таких угроз именно списки зловредных сайтов, доступные по URL-адресу.

Доступные списки зловредных доменных имен по категориям

Подробнее про указанные ниже списки доменных имен можно прочитать тут.

Реклама и трекеры:

• StevenBlack_ADs
• Quidsup_Trackers
• yHosts
• Yhonay_BD
• Yoyo
• MVPS
• Adaway
• D_Me_ADs
• D_Me_Tracking"
• SWC Ad
• neoHosts basic
• neoHosts Full
• SNAFU_List
• BarbBlock
• Adguard_DNS
• LanikSJ
• Anudeep_BL
• Easylist_FB
• PL_Adservers
• Fademinds
• Ad_Wars
• Easyprivacy
• Prigent_Ads
• Fademind_2o7
• Max_MS
• Frogeye_First
• Frogeye_Multi
• Lightswitch05
• Perflyst_Android
• Perflyst_TV
• Anudeep_Facebook

Зловредные ресурсы:

• Abuse_urlhaus
• BBcan177 MS_2
• SFS_Toxic_BD
• MVPS
• Spam404
• SWC
• Maltrail_BD
• D_Me_Malv
• D_Me_Malw
• Abuse_ThreatFox
• AntiSocial_UK_BD
• AZORult_BD
• Botvrij_Dom
• Magento
• Maltrail_Blackbook
• StevenBlack_BD
• VXVault
• Krog_BD
• KAD_BD
• Kowabit
• Joewein_base
• Joewein_new
• Piwik_Spam
• Quidsup_Trackers
• Quidsup_Mal
• Yhonay_BD
• yHosts
• Prigent_Malware
• Risky_Hosts
• WaLLy3Ks
• APT1_Report
• KADhosts
• FM_Spam
• DandelionSprouts
• DigitalSide

Фишинг:

• PhishingArmy
• Phishing_Army Расширенный
• OpenPhish

DNS-over-HTTPS:

• TheGreatWall_DoH
• Bambenek_DoH
• Oneoffdallas_DoH

Cryptojacking:

• MoneroMiner
• NoCoin
• Prigent_Crypto

Другое:

• Edwin_Email
• ENUMER_STUN
• NGOSANG_TORRENT
• Matomo_Spam
• Chad_Mayfield
• Chad_Mayfield_1M

Блокировка зловредных доменов по спискам

При запуске программы выбираем интересующие нас списки галочками. При наведении курсора на списки отображается всплывающая подсказка - достаточно навести курсор на пункт (например, yHosts) и подождать пару секунд.

При переходе между категориями отмеченные галочки не сбрасываются, то есть можно отметить в категории реклама и трекеры, а потом перейти в категорию фишинг, отметить там и вернулся в рекламу и все отмеченные галочки будут сохранены.

Когда выбрали необходимые списки нажимаем кнопку "Обновить файл hosts", тогда программа начет скачивать списки, что указывается в статусе.

По завершению в статусе появится надпись "Готово! Файл Hosts обновлен".

Кнопка "Удалить добавленные записи" удаляет только те записи, которая программа сама добавляет.

ZloBlocker добавляет доменные имена из выбранных списков между строками "# !!!! Начало зловредных доменов" и "# !!!! Конец зловредных доменов".

Кнопка "Создать задание в планировщике" создаёт задачу для регулярного обновления выбранных списков доменных имен. Задача выполняется с периодичностью в 4 часа.

Отказ от ответственности и антивирусы

В Windows версию упакован интерпретатор Python и множество необходимых для работы программы библиотек, из-за чего некоторые непопулярные в России антивирусы могут ругаться.

Доктор веб говорит, что основной исполняемый файл безопасен. Весь архив с программой закинуть невозможно, так как у формы ограничение в 10 мегабайт.

При помощи сервиса от антивируса Касперского проверил весь архив с Wndows версией, и он говорит, что он чист.

Это проверка основного исполняемого файла.

Можете самостоятельно перепроверить. Программа не содержит никакого зловредного кода. Вся суть претензий в упакованном интерпретаторе Python с кучей библиотек.

Некоторые непопулярные в России антивирусы будут ругаться. Это весь архив с Windows версией блокировщика зловредных сайтов.

Это проверка только исполняемого файла.

Обратите внимание, что абсолютно тот же код, но упакованный в debian пакет для Astra Linux уже считается всеми антивирусами безопасным. Код открыт и его можно изучить на github. Повторю, для сборки версий под Windows и Astra Linux используется один и тот же код (main.py + main.ui), и в силу того, что Python не компилируется, то в debian пакете содержится весь тот же самый код, что есть в Windows версии. Очевидно, что безопасная по мнению VirtusTotal версия под Linux доказывает безопасность самого кода.

Иными словами, все претензии антивирусов сводятся к упакованному в Windows версию интерпретатору Python и его библиотекам. Делать с этим я ничего не буду, поэтому используйте программу на свой страх и риск.

Антивирусы с сетевыми экранами могут блокировать доступ интерпретатора Python в интернет. Для решения этой проблемы следует добавить папку с программой в исключения.

Также, модули проактивной защиты (или превентивной\поведенческий анализ, как в dr.web) могут отслеживать изменения файла hosts, и при каждой попытке спрашивать разрешение. Учитывайте эту информацию. При необходимости создания задачи в планировщике стоит подумать про отключение данного функционала в антивирусе, или настройке исключений.

ZloBlocker была успешно протестирована на операционных системах Windows 10 x64 и Astra Linux 1.7.6.14 5.15.0.111-generic Орел. 

Автор не гарантирует полезность и работоспособность данной программы. Неосторожное обращение может нанести вред, поэтому используйте на свой страх и риск.