Электронные сигареты, тайна фамилии, диеты, сайты знакомств и прочие рекламные страницы уже давно являются неотъемлемой частью Рунета. Эти сайты видели пользователи и в спаме, и в социальных сетях, и при вводе популярного поискового запроса, и при неосторожном клике по баннеру, и т.д.

Наши коллеги из компании «Доктора Веб» тоже обратили внимание на данную проблему и рассказали историю про взломы сайтов для перенаправления пользователей на вредоносные программы.

Учитывая, что за этим инцидентом скрывается нечто большее, чем просто установка троянцев-блокеров, мы решили более детально рассказать о том, что на самом деле происходит, и нанести очередной удар по всем недобросовестным «вебмастерам», причастным к распространению вредоносных программ.

Каждая шестисотая страница на сайтах социальных сетей содержит какую-нибудь вредоносную программу, считают эксперты компании ScanSafe. Свое заявление они подкрепили результатами анализа содержимого более 5 миллиардов страниц, проведенного в июле. Кроме того, представители ScanSafe отметили, что на долю социальных сетей, наиболее популярных среди подростков, приходится около одного процента трафика, потребляемого на рабочих местах.

Генеральный директор ScanSafe Эльдар Тювей (Eldar Tuvey) полагает, что приведенная выше цифра должна стать предметом беспокойства для бизнеса. «Социальные сети стали поводом для новостных сообщений в связи с беспокойством за безопасность детей, однако эти сайты также представляют потенциальную угрозу поскольку могут распространять вредоносные программы», — сказал Тювей.

Большинство вредоносных программ, выявленных ScanSafe, относятся к шпионскому и рекламному программному обеспечению — от тех, что просто следят за путями пользователя в Сети до тех, что перенаправляют браузер на определенные адреса.

По данным ScanSafe, в июле доля шпионских программ выросла на 19%, в то время как доля вирусов снизилась на 14%, таким образом укрепив тенденцию прошлого года. Около 13% угроз пришлось на долю так называемых угроз нулевого дня, то есть, которые возникают до появления антивирусных сигнатур.

20-летний житель штата Калифорния Джинсон Джеймс Анчета (Jeanson James Ancheta) признал себя виновным в продаже доступа к сетям зараженных компьютеров и получении прибыли за счет незаконной установки рекламного программного обеспечения, сообщает сайт SecurityFocus.com. Таким образом, Анчета подтвердил справедливость 4 из 17 пунктов выдвинутого против него обвинения.

Согласно тексту обвинительного заключения, Анчета использовал вирусные программы для заражения компьютеров под управлением операционных систем Windows и создания на их базе сетей так называемых «зомби»-машин или ботов. Затем доступ к сетям ботов продавался заинтересованным лицам, к числу которых можно отнести, например, спамеров. Кроме того, Анчета самостоятельно распространял по сетям программное обеспечение для показа рекламы и таким образом получал доходы от рекламных бюджетов.

«Анчета признался, что заработал около 60 тысяч долларов, контролируя около 400 тысяч зараженных компьютеров», — говорится в тексте обвинения. 20-летний преступник был арестован осенью прошлого года. Власти назвали его задержание первым арестом такого рода за всю историю США. В вину Анчете вменялось прежде всего получение дохода за счет эксплуатации ботов, а не за распространение вредоносного программного кода.

Четыре пункта, по которым Анчета признал свою вину, могут стоить ему 25 лет свободы и 1 миллиона долларов в виде штрафов. В рамках судебного соглашения подсудимый предоставит для конфискации 60 тысяч долларов, автомобиль BMW 1993 года выпуска и различное компьютерное оборудование. Кроме того, Анчета согласился выплатить властям компенсацию в размере 15 тысяч долларов. Приговор Анчете будет вынесен 1 мая.

Признание Анчеты символизирует самый свежий успех следователей, преследующих владельцев ботов.В октябре прошлого года голландские власти арестовали трех человек, которые контролировали сеть предположительно из 1,5 миллиона зараженных машин. В августе ФБР и Microsoft помогли властям Турции и Марокко выследить двух человек, подозреваемых в создании и распространении червя Zotob. В основе кода Zotob лежала программа для создания бот-сетей.

Обнаруженная нами в ноябре прошлого года программа not-a-virus:AdWare.CommonName.g скрывает свое присутствие в операционной системе с помощью драйвера, который устанавливается как драйвер — фильтр файловой системы, а также перехватывает необходимые для сокрытия своего присутствия системные сервисы из KeServiceDescriptorTable, что является типичным для Rootkit поведением.

Подобная функциональность и многочисленные просьбы со стороны пользователей наших антивирусных продуктов в конечном итоге заставили нас изменить тип данной программы с AdWare на Trojan (not-a-virus:AdWare.CommonNames.g > Trojan.Win32.CommonName.a). Так нежелательная, но не вредоносная программа встала в один ряд с однозначно опасными троянцами и бэкдорами.

Ни для кого не секрет, что рекламные программы не нравятся пользователям, и те всячески стараются от них избавиться. Не секрет это и для разработчиков AdWare, которые продолжают балансировать между вредоносным и легальным ПО, предпринимая все новые попытки для увеличения времени жизни AdWare в пользовательской операционной системе. Все чаще и чаще разработчики AdWare используют для этого технологии киберпреступников.