|
На российский сегмент интернета продолжается нашествие вирусов. Только-только утихла шумиха вокруг вредоносной рассылки на социальных ресурсах "ВКонтакте" и "Одноклассники.ру", как появилась новая напасть, которая, если и не сделает невозможной работу на компьютере, то уж точно сильно затруднит поиск нужной информации. Как сообщает Служба безопасности страниц Yandex, в Рунете появился новый вирус, имеющий прямое отношение к поиску. Творение неизвестного зловещего компьютерного гения получило название "вирус подмены страницы". Суть деятельности вируса - в изменении содержимого страниц в браузере пользователя. На данный момент известно два типа воздействия, которое оказывает вирус на компьютер, ставший его носителем. Во-первых вирус заменяет найденную поисковой системой ссылку на сайт на ссылку к совершенно другому ресурсу, который не имеет или почти не имеет отношения к заданному запросу. При этом вирус ведет себя достаточно умно и после перезагрузки страницы или отправленном повторном запросе ссылка на подставной сайт может исчезнуть. Во-вторых, при переходе пользователя по ссылке вирус перенаправляет его на другой сайт, в результате чего пользователь оказывается совсем не там, где ожидал. Заразить свой компьютер вирусом подмены можно разными способами - например, установив ускоритель закачки файлов BitAccelerator предлагаемый файлообменной сетью Letitbit.net. Среди файлов программы присутствует скрытая библиотека с кодом вируса, которая не покинет ваш копьютер, даже если вы удалите сам BitAccelerator. Сообщается, что масштабы распространения вируса на столько велики, что уже можно говорить о сотнях тысяч зараженных компьютеров, поскольку этот вирус работает со всеми популярными в русскоязычном сегменте сети поисковиками - Яндекс, Google, Рамблер и MSN (Live). Агентство "Интерфакс" со ссылкой на компанию"Доктор Веб", отмечает, что в данной ситуации страдают как сами пользователи, так и репутация поисковых систем. Первые не могут найти в сети то, что им нужно, а в адрес которых и так уже звучит не мало обвинений в тайной продаже мест на первых страницах результатов поиска. Помимо этого ущерб наносится и по сетевой рекламе, так как из-за некорректной работы системы они теряют трафик, необходимый для "открутки" рекламных площадок. Вирусы подмены появились сравнительно недавно и первое время рассматривались антивирусными компаниями как рекламное программное обеспечение, не несущее угрозы безопасности компьютеров. Позже, в результате многочисленных запросов компаний, занимающихся интернет-поиском и проведенных совместных исследований, большинство антивирусных компаний пришло к выводу, что такие программы представляют несомненную угрозу. Сейчас почти все распространенные антивирусы автоматически обнаруживают и удаляют вирусы подмены. Релиз Садовского В последнее время в Рунете появилось вредоносное программное обеспечение нового типа - программы, созданные для искажения страниц в браузере пользователя. Поскольку нас интересует поиск, мы рассмотрим деятельность этих программ в контексте поисковых систем. В строгом понимании термина "вирус" эти программы вирусами не являются, однако механизм их работы очень похож на деятельность вирусов, поэтому условимся называть такое ПО "вирусом подмены страниц". При обращении пользователя, компьютер которого заражен таким вирусом, к поисковой системе вирус изменяет один из результатов поиска. Таким образом, пользователь переходит не на сайт, найденный поисковой системой, а на какой-то другой. Эта проблема существует для всех популярных в Рунете поисковиков - для Яндекса, Google, Рамблера, MSN (Live). Кроме того, вирус может подменять не только страницы с результатами поиска, а вообще любые сайты. Вирус подмены страниц может попасть на компьютер вместе с какой-нибудь программой, загруженной из интернета. Например, вместе с бесплатным ускорителем закачки файлов BitAccelerator, который предоставляется файлообменным сервисом Letitbit.net. Вместе с этой программой пользователь скачивает скрытую библиотеку. Эта библиотека остается на компьютере пользователя и при удалении BitAccelerator. Чаще всего на зараженном компьютере вирус ведет себя одним из двух способов: * Вирус подменяет html-код страницы с результатами поиска, подставляя вместо одного из результатов ссылку и описание другого сайта. Дизайн и общий вид подмененной позиции похожи на обычные результаты поиска, но сам сайт к заданному запросу отношения не имеет. Например, по запросу [самолет] выводится порносайт, или по запросу [Яндекс] - сайт другой компании. Если задать тот же самый запрос еще раз, нерелевантный сайт исчезнет из результатов поиска.
* Другой вариант появился позднее, возможно, вследствие того, что пользователи меньше кликали по нерелевантным ответам. По запросу пользователя страница выдачи не изменяется, но при переходе по одному из первых результатов поиска вирус переадресовывает пользователя на другой сайт. Вирус подмены страниц используется для воровства и продажи трафика - с его помощью можно получить, по самым скромным оценкам, несколько сот тысяч переходов в день. Переходы пользователей продаются рекламодателям как контекстная реклама. Схема работы мошенников выглядит следующим образом: * Рекламодатель заказывает рекламу сайта по определенным ключевым словам. Эти слова передаются в программу, работающую на удаленном сервере злоумышленников.
* Когда пользователь заходит с зараженного компьютера на сайт какой-нибудь поисковой системы и вводит запрос в строке поиска, вирус активизируется и передает запрос на сервер мошенников. Если этот запрос содержится в программе, в ответ приходит адрес сайта, который подставляется в выдачу поисковика.
* Пользователь переходит по ложной ссылке и уходит, решив, что поисковая система дала ему нерелевантный ответ. При этом вирус модифицирует HTTP-запрос таким образом, что в логи посещенного сайта записывается переход с рекламной сети мошенников - поэтому рекламодатель заплатит за этот переход. В результате проигрывают все - кроме авторов вируса, конечно. Пользователь не находит нужную информацию. Рекламодатель платит за нецелевой трафик. Поисковая система теряет репутацию - обнаружив последствия работы вируса подмены, некоторые пользователи обвиняют поисковики в продаже мест на первых страницах выдачи. До недавнего времени антивирусные компании классифицировали вирусы подмены страниц просто как рекламный софт - не особо полезный, но вроде бы и не вредный. В результате совместных с нами обсуждений и исследований большинство антивирусных компаний пришло к выводу, что такие программы представляют несомненную угрозу. Сейчас большинство производителей антивирусов перевели вирусы подмены страниц в класс вредоносного и опасного ПО. Антивирусы компаний Dr.Web, "Лаборатория Касперского", ESET (NOD32), Panda Security обнаруживают и автоматически удаляют все известные версии вируса подмены страниц. Кроме того, можно избавиться от вируса при помощи бесплатного приложения Я.Онлайн с антивирусом Касперского или утилиты CureIt от "Доктора Веба". Скачать Я.Онлайн можно по адресу online.yandex.ru, а утилиту CureIt - с сайта компании "Доктор Веб": freedrweb.com. Мы рассчитываем на то, что вместе с антивирусными компаниями нам удастся остановить распространение вируса и появление его новых образцов. Если вы подозреваете, что ваш компьютер заражен вирусом подмены страниц, пишите по адресу - safesearch@yandex-team.ru. Мы обязательно поможем.
|
Ключи к статье:
Вирус подмены страниц, хак, взлом, вирусы
|
|
