В последнее время в интернете все чаще проявляется вредоносное программное обеспечение – программы, созданные для искажения страниц в браузере пользователя.
В строгом понимании термина «вирус» эти программы вирусами не являются, однако механизм их работы очень похож на деятельность вирусов. При переходе по ссылке пользователем, компьютер которого заражен таким вирусом, вирус изменяет ссылку. Таким образом, пользователь переходит не на сайт, необходимый ему, а на какой-то другой.
Эта проблема существует для всех популярных сайтов и поисковиков – для Яндекса, Google, Рамблера, MSN (Live). Вирус может подменять не только страницы с любыми сайтами, но и результы поиска.
Вирус подмены страниц чаще всего попадает на компьютер вместе с какой-нибудь программой, загруженной из интернета. Вместе с этой программой пользователь скачивает скрытую библиотеку. Эта библиотека остается на компьютере пользователя и при удалении зараженной программы.
Чаще всего на зараженном компьютере вирус ведет себя одним из двух способов:
- Вирус подменяет html-код страницы с результатами поиска, подставляя вместо одного из результатов ссылку и описание другого сайта. Дизайн и общий вид подмененной позиции похожи на обычные результаты поиска, но сам сайт к заданному запросу отношения не имеет. Например, по запросу [самолет] выводится порносайт, или по запросу [Яндекс] – сайт другой компании. Если задать тот же самый запрос еще раз, нерелевантный сайт исчезнет из результатов поиска.
- Другой вариант появился позднее, возможно, вследствие того, что пользователи меньше кликали по нерелевантным ответам. По запросу пользователя страница выдачи не изменяется, но при переходе по одному из первых результатов поиска вирус переадресовывает пользователя на другой сайт.
Вирус подмены страниц используется для воровства и продажи трафика – с его помощью можно получить, по самым скромным оценкам, несколько сот тысяч переходов в день. Переходы пользователей продаются рекламодателям как контекстная реклама.
Схема работы мошенников выглядит следующим образом:
- Рекламодатель заказывает рекламу сайта по определенным ключевым словам. Эти слова передаются в программу, работающую на удаленном сервере злоумышленников.
- Когда пользователь заходит с зараженного компьютера на сайт какой-нибудь поисковой системы и вводит запрос в строке поиска, вирус активизируется и передает запрос на сервер мошенников. Если этот запрос содержится в программе, в ответ приходит адрес сайта, который подставляется в выдачу поисковика.
- Пользователь переходит по ложной ссылке и уходит, решив, что поисковая система дала ему нерелевантный ответ. При этом вирус модифицирует HTTP-запрос таким образом, что в логи посещенного сайта записывается переход с рекламной сети мошенников – поэтому рекламодатель заплатит за этот переход.
В результате проигрывают все – кроме авторов вируса, конечно. Пользователь не находит нужную информацию. Рекламодатель платит за нецелевой трафик. Популярный сайт или поисковая система теряет репутацию.
Вначале антивирусные компании классифицировали вирусы подмены страниц просто как рекламный софт – не особо полезный, но вроде бы и не вредный. Сейчас большинство производителей антивирусов перевели вирусы подмены страниц в класс вредоносного и опасного ПО. Антивирусы компаний Dr.Web, «Лаборатория Касперского», ESET (NOD32),Panda Security и другие обнаруживают и автоматически удаляют все известные версии вируса подмены страниц.
Кроме того, можно избавиться от вируса при помощи бесплатной утилиты CureIt от «Доктора Веба». Скачать бесплатную утилиту CureIt –можно с сайта компании «Доктор Веб»: freedrweb.com.
No responses yet