В Hoverzoom (http://hoverzoom.net/), популярном дополнении к браузеру Chrome, включенном (http://www.pcmag.com/article2/0,2817,2358592,00.asp) изданием PCMagаzine в список лучших дополнений к Chrome за 2013 год и занимавшим неплохие позиции в рейтинге Chrome Web Store (https://chrome.google.com/webstore), выявлено (http://www.ghacks.net/2013/12/26/hoverzooms-malware-controve.../) наличие вредоносной вставки, приводящей к утечке персональных данных на внешний сервер. В частности, при активации дополнения в контексте каждого сайта выполнялся специальный JavaScript-код, который приводил к накоплению информации об активности пользователя на сайте, в том числе собирал содержимое web-форм.Примечательно, что автор дополнения опубликовал (http://hoverzoom.net/aboutdatacollection/) заявление, в котором опроверг вредоносный характер кода, указав на то, что скрипт не является вредоносным и не собирает персональные данные. По словам автора дополнения, вся накапливаемая статистика собирается в анонимном режиме в рамках проведения маркетингового исследования, ориентированного на сбор демографических данных. Скрипт был добавлен в выпуске Hover Zoom 4.27 в рамках партнёрской программы с одной из маркетинговых компаний. В версии Hover Zoom 4.28 данный скрипт был удалён.
Оппоненты не согласны такой трактовкой и утверждают о возможности утечки паролей и номеров банковских карт в процессе работы данного скрипта. В частности, приводятся следующие факты:
- Hoverzoom без ведома пользователя подставляет скрипт (https://github.com/Kruithne/HoverZoom_Malware/blob/master/hz.js) на открываемые в браузере страницы;
- Hoverzoom подменяет некоторые ссылки на сервисы Amazon на всех открытых в браузере сайтах, подставляя в них собственный партнёрский идентификатор;
- Данные о посещениях отправляются на сторонние ресурсы webovernet.com и jsl.blankbase.com;
- Информация об ошибочных доменных именах отправляется на сторонний сайт advisormedia.cz (данная активность наблюдалась ещё с весны и объяснялась как сервис для уведомления владельцев о неиспользуемых доменных именах);
- Все схемы монетизации включены по умолчанию;
- В скрипте, поставляемом в выпущенной 17 декабря версии 4.27, все данные, вводимые в web-формах на сайтах, передавались на внешний ресурс qp.rhlp.co;
- В версии 4.28, выпущенной 18 декабря, скрипт был удалён из поставки.В настоящее время дополнение Hoverzoom удалено (https://chrome.google.com/webstore/detail/nonjdcjchghhkdooln...) из каталога Chrome Web Store по инициативе создателя программы (рейтинг дополнения был сведён на нет сотнями однозвёзочных оценок, а репутация подорвана обилием негативных отзывов). В качестве альтернативы дополнению Hoverzoom, которое позволяет при наведении мыши на картинку показать её полноразмерный вариант, без загрузки других страниц и открытия отдельных окон, рекомендуется использовать дополнение Imagus (https://chrome.google.com/webstore/detail/imagus/immpkjjlgap...).
URL: http://www.ghacks.net/2013/12/26/hoverzooms-malware-controve.../
Новость: http://www.opennet.me/opennews/art.shtml?num=38738
офигеть
доколе ?
> в том числе собирал содержимое web-форм.Офигенно, чувак собрал большое маркетинговое исследование номеров кред. И выгодно продал его маркетологам из кардинговой компании...
>предположительно вредоносная вставкаТ.е. ты считаешь, что отправка просмотрщиком картинок(!) данных из полей ввода на удалённый сервер не должна вызывать ни удивления ни, тем более, порицания?
О! Да ты просто эталон любви и терпимости.
Предлагаю тебя заспиртовать и отправить в Палату мер и весов:)
Виновен, не виновен, дополнение уже успели заминусовать и выкинуть на мороз...
> Виновен, не виновен, дополнение уже успели заминусовать и выкинуть на мороз...Заминусовали, заметим, только после того, как были представлены неоспоримые доказательства вины.
Клоун, ты такой клоун… Для того, чтоб заляпать себе репутацию в делах, касающихся безопасности пользовательских данных, быть виноватым и не нужно. Достаточно дать окружающим повод усомниться в своих намерениях, а тут повод более чем достаточный — есть код, который собирает данные и отправляет их налево. Причём была допущена ошибка — он его экстренно удалил. Значит сам не был уверен в его чистоте (и пофиг так это или нет — это не суд, поди и докажи это каждому персонально теперь). Дальше тебе просто перестают верить и уже до одного места выиграешь ты дело или проиграешь — репутация уже дурная и дел с тобой иметь никто не хочет.
Что делать? Не давать поводов усомниться. Не было б кода, отправляющего какие-либо данные куда-либо,— не было бы и проблемы.И вот ещё один момент. Чем больше народу обожжётся на таких делах — тем лучше. Может наконец поймут, что встраивать в код своих дополнений всякий левые недокументированные функции для «монетизации» просто нельзя. Разработчики ПО для ПК это постепенно начали понимать. Пора это понять и «веб»-разработчикам. А то пора уже отстрел проводить.
Если б он не встраивал всякое левое говно в свой код — не прокатило бы. Он сам виноват, что болван. Есть ровно один способ не вляпаться в такое говно — не встраивать чужой мутный код. Ни под каким соусом. Я понимаю фирмы, которые покупают расширения и встраивают туда свой собственный мутный код — в конце-концов они за него отвечают, предупреждают о его наличии и у нормальных людей он по-умолчанию выключен (кстати, когда по-умолчанию оказывается включён и не предупреждают — достаётся и таким фирмам), но не вот таких вот болванов. Твоё расширение ставили для того, чтоб оно выполняло одну конкретную задачу, а помимо неё оно после очередного обновления внезапно начинает выполнять ещё и иную, подозрительную задачу. Естественно волна говна от _твоих же пользователей_ просто неминуема и нужно быть болваном, чтоб этого не понимать.Он сам виноват в своих бедах и своей жадности. Не хватает донатов от топового расширения для Хрома? Хочешь состричь побольше бабла? Будь готов к последствиям.
Он обязан был предупредить пользователей при установке обновления и предложить принять участие в сборе любой статистики о них. Он это сделал? Если б он это сделал, то всего этого просто не случилось бы.
> . . .
> Он обязан был предупредить пользователей при установке обновления и предложить принять
> участие в сборе любой статистики о них.
> . . .Так !
Хорош "капитанить", Стакангенс вас тут троллит уже целый день, а ты до сих пор не догадался.
Не целый день а в течение часа. И он как-то шустро слился, что забавно. Я ожидал куда больше жира.
Поставь себе это дополнение, Стаканчик. И не порти форумы.
Он не такой дурак, чтобы верить в то, что пишет.
> Он не такой дурак, чтобы верить в то, что пишет.Думаешь?
> Думаешь?Конечно. Зато (с вероятностью 90%) могу также предположить, что он такой дурак, чтобы верить в успешную карьеру менеджера по промоутингу в мелкософте, ипотеку и форд-фокус в кредит.
Чего ты тут пытаешься доказать. Разработчик и его программа потеряли доверие пользователей. На свободном рынке это фатально, ему стоило все взвесить заранее.
Для здешних же обитателей отсутствие исходников программы является 100% доказательством ее вредоносности. И к чему эта софистика?
> Для здешних же обитателей отсутствие исходников программы является 100% доказательством
> ее вредоносности. И к чему эта софистика?99%. Нельзя исключать, ситуацию, когда автор ничего такого не замышлял, а исходники не выложил по каким-то другим причинам.
> не выложил по каким-то другим причинам.Прикольно оправдания проприерасов смотрятся. Тем не менее, заметим что в вопросах типа например финансовых дел - клозетт-сорсу уже никто особо не доверяет. Например все криптовалюты и софт для работы с ними - повально открытый. Закрытый считается уже просто неприлично предлагать в чувствительных вопросах, таких как финансы.
>>в вопросах типа например финансовых дел - клозетт-сорсу уже никто особо не доверяетЧего? Все банк клиенты закрыты, инфраструктура электронных подписей завязана на всякие закрытые поделки типа криптопро.
> закрытые поделки типа криптопро.И что характерно, пользуются этим г-ном только под дулом автомата...
Не все закрытые банк-клиенты запускаются на компе пользователя. Вебовские запускаются на площадке банка и могут троянить сами себя сколько хотят.
>вопросах типа например финансовых дел
>все криптовалюты и софт для работы с ними - повально открытыйНасмешил. Приведи пример получше
>> Для того, чтоб БЫТЬ_ОБВИНЁННЫМ_И_НАКАЗАННЫМ быть виноватым и не нужно.
> Дальше можете не продолжать. Я уже знаю куда ведут такие разговоры.
> 16 век: "Дайте мне две строки, написанных рукой самого честного человека в
> мире, и я найду в них повод отправить его на костёр"
> (инквизиция)Не две, а шесть, не на костёр, а на виселицу, и не инквизиция, а кардинал де Ришелье.
> Клоун, ты такой клоун…Так что ему отвечать? "К модератору" и всё. Иначе эта табуретка сожрёт как можно больше чужого времени псевдоинтеллектуальными измышлениями без понимания сути и цитатами из непроверенных источников.
> Есть такое понятие как "презумпция невиновности":А теперь попробуй помахать дубинкой перед ротой омона. Может ты никого и не заденешь, но боюсь что тебе все-таки сначала накостыляют, а потом может быть и разберутся что перестраховались.
>> Есть такое понятие как "презумпция невиновности":
> А теперь попробуй помахать дубинкой перед ротой омона.Лучше — «предметом, похожим на пистолет»™.
// Жалобу в ЕСПЧ стоит накатать заранее, потом возможности может уже не оказаться.
НУ и причем тут «презумпция невиновности»?
> ... конкурентами выявлена предположительно вредоносная вставка ...
> ... конкуренты усиленно форсят новость ...Отличная конспирологическая теория, осталось только шапочку из фольги натянуть.
И пофиг, что никаких конкурентов у плагина не было.
>> ... конкурентами выявлена предположительно вредоносная вставка ...
>> ... конкуренты усиленно форсят новость ...
> Отличная конспирологическая теория, осталось только шапочку из фольги натянуть.
> И пофиг, что никаких конкурентов у плагина не было.Как не было? Вон прямо в новости один и засветился ))
> Как не было? Вон прямо в новости один и засветился ))Не надо путать с альтернативами. Нет рынка - нет конкуренции.
Вот интересно когда появится(появятся) пакетные менeджeры для HTML сценариев ?!
> Вот интересно когда появится(появятся) пакетные менeджeры для HTML сценариев ?!Ну вон в дебиане ряд дополнений к мозилле можно из реп ставить.
> Ну вон в дебиане ряд дополнений к мозилле можно из реп ставить.Про run-time загрузку скриптов - только идеологически правильных скриптов - встроить нек-кий фун-л пакетного менеджера в браузер.
>> Ну вон в дебиане ряд дополнений к мозилле можно из реп ставить.Это не про html, а про xul. И интеграция тех xul-ов с системным пакедж-манагером - пoрн похлеще покойного icеape-а. Или паковку в пакеты cpan-ов и прочих руби-питонов: поздно, геморройно и совершенно неблагодарно.
> Про run-time загрузку скриптов - только идеологически правильных скриптов - встроить
> нек-кий фун-л пакетного менеджера в браузер.:))) Столман уже предлагал проверку лицензии жава-скриптов.
Но пред-предыдущий оратор же хотел лицензию html проверять? А, ну да, не лицензию.
>...уже предлагал проверку лицензии жава-скриптовHе про лицензии речь идет... Hа базе(ах) ПРОВЕРЕННЫХ, STABLE, ЛОКАЛЬНОЙ etc. скриптов,
нет в базе, не подписан скрипт, проводим процедуру CUTting`a из УЕБ-страницы...
А потом передаем на обработку движку в run-time.
Лучше вообще на локалхосте сохранить только проверенные, стабильные сайты, и серфиться только по ним. Для надежности выдернуть провод к провайдеру.
> Лучше вообще на локалхосте сохранить только проверенные, стабильные сайты, и серфиться
> только по ним. Для надежности выдернуть провод к провайдеру.Эд - абcypдyм, чел предалагает встроить некий базовый функционал пакет манагера для HTML скриптов в браузер - для отфильтрации "школьных уеб-мастеров", "гуру-пыхыпыха", и проч.
> Вот интересно когда появится(появятся) пакетные менeджeры для HTML сценариев ?!Интересно когда появится удобный контроль за действием этих скриптов, в т ч с предоставлением скриптам фиктивных данных. Мне вот не нравится, что при открытии ссылки из поисковика не открывается url сайта напрямую, а происходит какая-то хрень с перенаправлением и сбором статистики, которая тормозит и даже зависает.
> Интересно когда появится удобный контроль за действием этих скриптов, в т ч
> с предоставлением скриптам фиктивных данных. Мне вот не нравится, что при
> открытии ссылки из поисковика не открывается url сайта напрямую, а происходит
> какая-то хрень с перенаправлением и сбором статистики, которая тормозит и даже
> зависает.И никому не нравится. А что делать? Не искать в гугле?
> И никому не нравится. А что делать? Не искать в гугле?отключить js — и никаких перенаправлений. чудеса рядом!
> Интересно когда появится удобный контроль за действием этих скриптов,NoScript в файрфоксе есть уже не первый год...
>NoScript в файрфоксе есть уже не первый год...Что мешает автору добавить malware в NoScript?
>>NoScript в файрфоксе есть уже не первый год…
> Что мешает автору добавить malware в NoScript?да ничего. собственно, нечто очень похожее уже было — когда noscript отрывал лапки adblock+ при помощи обфусцированного куска кода.
Закрытый код на марше. Было бы как в мазиле, то и вскрылось бы раньше и проверить, что действительно там отправляется, мог проверить каждый.
в общем, опенсорс рулит. :)
Пользователи хромой проприетарщины должны страдать.
Эм... У хрома все расширения в .js
В мозиле перед установкой расширений код на экран выводиться и пока не прочитаешь не поставиться?
Там всё в исходниках. Всплыло не потому, что закрыто, а именно потому, что открыто и кому-то наконец захотелось разобраться кто это шлёт левые запросы непонятно куда с непонятно чем. Были б предприняты меры оповещения пользователей расширения и было б предложено этот код активировать — не было б и проблемы. Всего-то при обновлении вывести страницу с объяснением ситуации и предложением поставить галочку.Это было сделано? Явно нет.
Прошёл по ссылкам. На reddit некто hpschorr выложил вредоносный код дополнения на http://pastebin.com/Rvp4eMvu . Кто более-менее знаком, можете примерно оценить его вредоносность?
Наивный чукотский юноша = reddit?> можете примерно оценить его
щас разбежались
Ну я не настаиваю
Судя по всему ставит обработчик на Submit форм и потом отправляет копию на левый сайт вместе с общими данными о браузере и системе клиента.a.onsubmit=function(a){try{b(a)}catch(g){
....
c.apply(this,Array.prototype.slice.call(arguments))}}}
....
function q(a,b,c,d,g){try{var g=g||"application/x-www-form-urlencoded",f=M();if(f){f.open(b?"POST":"GET",a,!0)
> Судя по всему ставит обработчик на Submit форм и потом отправляет копию
> на левый сайт вместе с общими данными о браузере и системе клиента.Обычная такая троянская коняшка...
Они просто вхотели поздравить с годом Лошади.
> Они просто вхотели поздравить с годом Лошади.Астрологи провозгласили год троянской лошади. Популяция троянцев удвоилась.
Ппц,да это ж классика.
Тут пацанам за такие дела нары светят, а этот просто удалил и какбе не при делах. Маркетинговый исследователь, ё-маё.
> Прошёл по ссылкам. На reddit некто hpschorr выложил вредоносный код дополнения на
> http://pastebin.com/Rvp4eMvu . Кто более-менее знаком, можете примерно оценить его вредоносность?Видно, что собираются лазить куда ни попадя, про остальное можно только гадать - неясно, как используется снаружи тот же listenForFormSubmit.
Если мне подарили зажигалку, в которой на просвет видны какая-то батарейка, какой-то микрофон и какая-то антенна, то так ли мне интересно, какой именно модуляцией она пользуется?
Про код - жато каким-то оптимизатором размера, который даже позаменял true/false на !0/!1, Math.floor() на |0 и проч. При этом не ленятся проверять версию Lynx (sic!)Пропускает формы, в которых есть hidden password поля (предполагается, что их уже видели, когда они не были hidden).
А что оно вообще должно делать? В новости ничего про это не нашёл. Какая-то неведомая фигня оказалась с бэкдором. Ну и что?
В последнем предложении новости написано про это.
"...позволяет при наведении мыши на картинку показать её полноразмерный вариант, без загрузки других страниц и открытия отдельных окон..."
Ты знаешь значение слова «бэкдор»?
> Ты знаешь значение слова «бэкдор»?При чем здесь backdoor? Это trojan/spyware в чистом виде.
Перечитай то, что сказал предыдущий аноним.
Кстати, это дополнение ещё одну очень интересную проблему поднимает.
Hoverzoom свободный проект под лицензией MIT, но если взглянуть на код, там вылазят абсолютно нечитаемые куски с неразрывными строками под тысячу символов и именами переменных/функций типа sdla3rdadbd3e2q1.Есть ли методы борьбы с подобным ? Ведь можно формально распространять продукт под GPL и использовать куски внешнего кода под GPL и GPL-библиотеки, которые нельзя линковать с проприетарным кодом. Сам код этого продукта, несмотря на открытость под свободной лицензией, будет бесполезен в виду запутанности и нечитаемости. Ещё можно придумать дамп машинного кода под GPL поставлять.
>Есть ли методы борьбы с подобным ?Есть. Фантастический вариант - Написать браузер более отзывчивый чем хром. Реалистический - запилить в фаервокс более быстрый XUL
А что, у хрома и фурифокса есть разница по отзывчивости? Не замечал.Единственное, в чем фурифокс уступает хрому - это жрач памяти. Но лично для меня эта фича не критична. Более того, вообще не вижу в ней смысла.
В том смысле, что жрёт памяти меньше Хрома? Это минус?
> В том смысле, что жрёт памяти меньше Хрома? Это минус?Для кого-то - да, судя по их высказываниям. Но я этого не понимаю.
> Кстати, это дополнение ещё одну очень интересную проблему поднимает.
> Hoverzoom свободный проект под лицензией MIT, но если взглянуть на код, там
> вылазят абсолютно нечитаемые куски с неразрывными строками под тысячу символов и
> именами переменных/функций типа sdla3rdadbd3e2q1.
> Есть ли методы борьбы с подобным ? Ведь можно формально распространять продукт
> под GPL и использовать куски внешнего кода под GPL и GPL-библиотеки,
> которые нельзя линковать с проприетарным кодом. Сам код этого продукта, несмотря
> на открытость под свободной лицензией, будет бесполезен в виду запутанности и
> нечитаемости. Ещё можно придумать дамп машинного кода под GPL поставлять.Так метод борьбы на ваших же глазах и произошёл. Обфусцировать код никакой нормальный опенсурс-проект не станет (под обфускацией в данном случае я подразумеваю именно приведённую вами выше обфускацию, а не обфускацию с целью более быстрого исполнения/загрузки кода)
Не прокатит, в GPL написано: The “source code” for a work means the preferred form of the work for making modifications to it...
http://www.manhunter.ru/underground/32_raspakovka_i_rasshifr...
> В настоящее время дополнение Hoverzoom удалено из каталога Chrome Web Store по инициативе создателя программы (рейтинг дополнения был сведён на нет сотнями однозвёзочных оценок, а репутация подорвана обилием негативных отзывов).А вот с Ubuntu такое не прокатило. Получается, кому-то можно таскать чужие данные, а кому-то - нет.
Они сразу указали на то, что, в принципе, предупреждали, а потом переделали так, чтоб предупреждение было на видном месте и рубильник неподалёку оказался. Тут же какое-то мелкое дополнение к браузеру и вообще без предупреждения.
> Они сразу указали на то, что, в принципе, предупреждалиСтранно, что автору сабжа не хватило наглости сказать то же самое.
> и рубильник неподалёку оказался
Сайт fixubuntu.com намекает, что этот рубильник отключает далеко не все функции слежения.
У меня сложилось такое впечатление, что это потому, что они для последней убунты им не пользуются, а выключают отдельные линзы. В результате твой запрос шлётся всем онлайн-линзам кроме набора перечисленных там линз. Что не совсем корректно, не так ли? Если уже рубить онлайн, то полностью и это делает выключатель в настройках.
> Сайт fixubuntu.com намекает, что этот рубильник отключает далеко не все функции слежения.Да, поэтому лучше пользоваться комьюнити-сборками типа хубунту, кубунту и прочая - там нет юнити и остальных подлянок.
> Да, поэтому лучше пользоваться комьюнити-сборками типа хубунту, кубунту и прочая - там нет юнити и остальных подлянок.А еще лучше - дебианом, ибо там нет арчепроблем из-за уберсвежего софта.
У Убунты тоже нету арчепроблем.
trollface.png
> А еще лучше - дебианом, ибо там нет арчепроблем из-за уберсвежего софта.У него свои проблемы. Типа окаменелого ядра, в котором на половине систем USB 3.0 отваливается и жутко глючит.
а как вообще дополнение в вредоносным кодом попало в каталог? они там не проверяют что ли? у аппле такого не случилось бы.
> а как вообще дополнение в вредоносным кодом попало в каталог? они там
> не проверяют что ли? у аппле такого не случилось бы.У аппле пришлось бы отстегивать аппле, только и всего.
> у аппле такого не случилось бы.У аппле секурити модель построена по концлагерному: все позапрещали в своем walled garden, так что их хлам стал бесполезняком для потреб-дей.
> У аппле секурити модель построена по концлагерному: все позапрещали в своем walled
> garden, так что их хлам стал бесполезняком для потреб-дей.Что значит бесполезняк? А как же попонтоваться серебристой коробочкой логотипом яблока - символом богатства и успеха?
>> У аппле секурити модель построена по концлагерному: все позапрещали в своем walled
>> garden, так что их хлам стал бесполезняком для потреб-дей.
> Что значит бесполезняк? А как же попонтоваться серебристой коробочкой логотипом яблока
> - символом богатства и успеха?Уже не попонтуешься, слишком много народу с гeйфoнами. А в мюрике оно вообще беспонтовое.
> Уже не попонтуешься, слишком много народу с гeйфoнами.Значит, надо не серебристую коробочку, а золотую.
Кстати, желательно не очень тонкую, а наоборот, кирпичеобразную, и чтобы 99% объема занимал золотой корпус. Надо подкинуть апплу идею.> А в мюрике
Где?
>> Уже не попонтуешься, слишком много народу с гeйфoнами.
> Значит, надо не серебристую коробочку, а золотую.Запамятовал. Да, золотым, возможно, ещё понтануться можно.
>> А в мюрике
Америка же.
> Что значит бесполезняк? А как же попонтоваться серебристой коробочкой логотипом яблока
> - символом богатства и успеха?Для меня это скорее фича: индивид показывает что он тyпой. Очень удобно, сразу видно с кем не надо иметь дел.
> Что значит бесполезняк? А как же попонтоваться серебристой коробочкой логотипом яблока
> — символом богатства и успеха?это только в странах третьего мира такое отношение. дома яблодивайсы — это или «купил средней цены, потому что лень выбирать, а оно работает», или «купил, потому что на дорогой дивайс денег нет, а попонтоваться охота».
А что оно должно было делать таково полезного?
> А что оно должно было делать таково полезного?Как что, пи...ть данные. Вот например логины и пароли можно загнать спамерам. Номера кред - кардерам. Ну и так далее. Польза для автора очевидна - уйма профита на ровном месте.
Вот за что я люблю open source. А то пользуюсь Скайпом, фиг знает что и куда он шлет :-)
Восстановим доброе имя гугля! :-)
Гугельбук отъел в этом году почти 10% рынка всех компов и 20% корпоративного рынка.
Это вам не линукс, это гугель! :-)
> Восстановим доброе имя гугля! :-)"Доброе", хы-хы. Так и пованивает "добром".
>> Восстановим доброе имя гугля! :-)
> "Доброе", хы-хы. Так и пованивает "добром"."Добро" оценивают по результатам, а не по словесам о "должном" :-)
"Сперва добейся" (с) - достигнет таких же результатов какой-нибудь столманнбук, тады и поговорим :-)
> "Сперва добейся" (с) - достигнет таких же результатов какой-нибудь столманнбук, тады и поговорим :-)Гугл не стремится к открытости своей продукции и уважению права на частную жизнь, поэтому вряд ли сможет конкурировать со столманбуком в его нише.
> "Сперва добейся" (с)Совсем не обязательно быть кондитером, чтобы понять, что торт — плохой.
> Это вам не линукс, это гугель! :-)Ну да, заменили один троян на другой троян. Мы так рады, так рады.
ну и всё, вот чувак себе и нагадил в карму навсегда. что бы он теперь не релизил, люди будут вспоминать: «а, это автор того троянского ворюги? не, не надо нам такой фигни».всё-таки жажда заработать немного денег и отсутствие уменя анализировать возможные последствия — взрывоопасное сочетание. вот оно и взорвалось, закидав автора фекалиями выше макушки.