If you download java from <a href="http://java.com">java.com</a>, you will get the installers with the bundled toolbar.  If you go to Oracle's java site or ftp site, you will get installers that don't have bundled toolbars.  <div>
<br></div><div>e.g., <a href="http://www.oracle.com/technetwork/java/javase/downloads/index.html">http://www.oracle.com/technetwork/java/javase/downloads/index.html</a><div><br></div><div>Also, on Windows, the toolbar installer can be disabled with a switch to setup.exe I think. <div>
<br></div><div>-Rob</div><div><br><br><div class="gmail_quote">On Mon, Dec 5, 2011 at 8:27 PM, Justin Krejci <span dir="ltr"><<a href="mailto:jus@krytosvirus.com">jus@krytosvirus.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Seems kind of shameful to me. I don't think I remember the last time I downloaded anything from <a href="http://download.com" target="_blank">download.com</a> either, too many ads and misleading links from the looks of it to me.<br>

<br>
I love nmap and feel sad for any infected with other junk, looking at you Java JRE installer for Windows and the Yahoo search bar crap. If I wanted Yahoo search bar its pretty likely I would have installed on my own. Its not like they are even related programs.<br>

<br>
Of course I don't use nmap on windows but its cool its a supported OS family.<br>
<br>
<br>
Jason, does Swift have nmap installed by default?<br>
<br>
<br>
-----Original Message-----<br>
From: Fyodor <<a href="mailto:fyodor@insecure.org">fyodor@insecure.org</a>><br>
Sender: <a href="mailto:nmap-hackers-bounces@insecure.org">nmap-hackers-bounces@insecure.org</a><br>
Date: Mon, 5 Dec 2011 14:35:30<br>
To: <<a href="mailto:nmap-hackers@insecure.org">nmap-hackers@insecure.org</a>><br>
Subject: C|Net Download.Com is now bundling Nmap with malware!<br>
<br>
Hi Folks.  I've just discovered that C|Net's Download.Com site has<br>
started wrapping their Nmap downloads (as well as other free software<br>
like VLC) in a trojan installer which does things like installing a<br>
sketchy "StartNow" toolbar, changing the user's default search engine<br>
to Microsoft Bing, and changing their home page to Microsoft's MSN.<br>
<br>
The way it works is that C|Net's download page (screenshot attached)<br>
offers what they claim to be Nmap's Windows installer.  They even<br>
provide the correct file size for our official installer.  But users<br>
actually get a Cnet-created trojan installer.  That program does the<br>
dirty work before downloading and executing Nmap's real installer.<br>
<br>
Of course the problem is that users often just click through installer<br>
screens, trusting that <a href="http://download.com" target="_blank">download.com</a> gave them the real installer and<br>
knowing that the Nmap project wouldn't put malicious code in our<br>
installer.  Then the next time the user opens their browser, they<br>
find that their computer is hosed with crappy toolbars, Bing searches,<br>
Microsoft as their home page, and whatever other shenanigans the<br>
software performs!  The worst thing is that users will think we (Nmap<br>
Project) did this to them!<br>
<br>
I took and attached a screen shot of the C|Net trojan Nmap installer<br>
in action.  Note how they use our registered "Nmap" trademark in big<br>
letters right above the malware "special offer" as if we somehow<br>
endorsed or allowed this.  Of course they also violated our trademark<br>
by claiming this download is an Nmap installer when we have nothing to<br>
do with the proprietary trojan installer.<br>
<br>
In addition to the deception and trademark violation, and potential<br>
violation of the Computer Fraud and Abuse Act, this clearly violates<br>
Nmap's copyright.  This is exactly why Nmap isn't under the plain GPL.<br>
Our license (<a href="http://nmap.org/book/man-legal.html" target="_blank">http://nmap.org/book/man-legal.html</a>) specifically adds a<br>
clause forbidding software which "integrates/includes/aggregates Nmap<br>
into a proprietary executable installer" unless that software itself<br>
conforms to various GPL requirements (this proprietary C|Net<br>
<a href="http://download.com" target="_blank">download.com</a> software and the toolbar don't).  We've long known that<br>
malicious parties might try to distribute a trojan Nmap installer, but<br>
we never thought it would be C|Net's Download.com, which is owned by<br>
CBS!  And we never thought Microsoft would be sponsoring this<br>
activity!<br>
<br>
It is worth noting that C|Net's exact schemes vary.  Here is a story<br>
about their shenanigans:<br>
<br>
<a href="http://www.extremetech.com/computing/93504-download-com-wraps-downloads-in-bloatware-lies-about-motivations" target="_blank">http://www.extremetech.com/computing/93504-download-com-wraps-downloads-in-bloatware-lies-about-motivations</a><br>

<br>
It is interesting to compare the trojaned VLC screenshot in that<br>
article with the Nmap one I've attached.  In that case, the user just<br>
clicks "Next step" to have their machine infected.  And they wrote<br>
"SAFE, TRUSTED, AND SPYWARE FREE" in the trojan-VLC title bar.  It is<br>
telling that they decided to remove that statement in their newer<br>
trojan installer.  In fact, if we UPX-unpack the Trojan CNet<br>
executable and send it to VirusTotal.com, it is detected as malware by<br>
Panda, McAfee, F-Secure, etc:<br>
<br>
<a href="http://bit.ly/cnet-nmap-vt" target="_blank">http://bit.ly/cnet-nmap-vt</a><br>
<br>
According to Download.com's own stats, hundreds of people download the<br>
trojan Nmap installer every week!  So the first order of business is<br>
to notify the community so that nobody else falls for this scheme.<br>
Please help spread the word.<br>
<br>
Of course the next step is to go after C|Net until they stop doing<br>
this for ALL of the software they distribute.  So far, the most they<br>
have offered is:<br>
<br>
  "If you would like to opt out of the Download.com Installer you can<br>
   submit a request to <a href="mailto:cnet-installer@cbsinteractive.com">cnet-installer@cbsinteractive.com</a>. All opt-out<br>
   requests are carefully reviewed on a case-by-case basis."<br>
<br>
In other words, "we'll violate your trademarks and copyright and<br>
squandering your goodwill until you tell us to stop, and then we'll<br>
consider your request 'on a case-by-case basis' depending on how much<br>
money we make from infecting your users and how scary your legal<br>
threat is.<br>
<br>
F*ck them!  If anyone knows a great copyright attorney in the U.S.,<br>
please send me the details or ask them to get in touch with me.<br>
<br>
Also, shame on Microsoft for paying C|Net to trojan open source<br>
software!<br>
<br>
Cheers,<br>
Fyodor<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
TCLUG Mailing List - Minneapolis/St. Paul, Minnesota<br>
<a href="mailto:tclug-list@mn-linux.org">tclug-list@mn-linux.org</a><br>
<a href="http://mailman.mn-linux.org/mailman/listinfo/tclug-list" target="_blank">http://mailman.mn-linux.org/mailman/listinfo/tclug-list</a><br>
</blockquote></div><br></div></div></div>