«Яндекс» попереджає, що в Рунеті з'явився вірус, який підміняє контент у браузері. Зокрема, вірус вміє змінювати посилання на веб-сторінках, а також здійснювати переадресацію користувача на інший сайт.
Поширена зараз модифікація вірусу підміняє результати всіх популярних в Рунеті пошуковиків - «Яндекса», Google, «Рамблера» і MSN (Live).
Заразити свій комп'ютер вірусом підміни можна різними способами, наприклад, встановивши прискорювач закачування файлів BitAccelerator з файлообмінника Letitbit.net. Разом з цією програмою поширюється прихована бібліотека. Навіть якщо вилучити BitAccelerator, бібліотека залишається на комп'ютері.
Масштаби поширення вірусу в Рунеті досить великі. За оцінкою «Яндекса», зараз можна говорити вже про сотні тисяч заражених комп'ютерів.
Вірус підміни сторінок використовується для крадіжок і продажу трафіку - з його допомогою можна отримати, за найскромнішими оцінками, кілька сотень тисяч переходів на день. Переходи користувачів продаються рекламодавцям як контекстна реклама.
Схема роботи шахраїв виглядає наступним чином.
Рекламодавець замовляє рекламу сайту за певними ключовими словами. Ці слова передаються в програму, що працює на віддаленому сервері зловмисників.
Коли користувач заходить із зараженого комп'ютера на сайт якої-небудь пошукової системи і вводить запит у рядку пошуку, вірус активізується і передає запит на сервер шахраїв. Якщо цей запит міститься в програмі, у відповідь приходить адреса сайту, який підставляється у видачу пошуковика.
Користувач переходить за помилковим посиланням і йде, вирішивши, що пошукова система дала йому нерелевантну відповідь. При цьому вірус модифікує HTTP-запит таким чином, що в логи відвіданого сайту записується перехід з рекламної мережі шахраїв - тому рекламодавець заплатить за цей перехід.
Донедавна антивірусні компанії класифікували віруси підміни сторінок як рекламний софт, що не приносить ні шкоди, ні користі. У результаті спільних з нами обговорень і досліджень більшість антивірусних компаній дійшла висновку, що такі програми становлять безсумнівну загрозу. Зараз майже всі поширені антивіруси автоматично виявляють і видаляють віруси підміни.
