Вирусы на поисковых системах

Обновлено: 24.04.2024

Эта статья написана не для разработчиков, а для владельцев сайтов. Простым языком мы расскажем, что может сделать с завирусованным сайтом человек, ничего не понимающий в веб-программировании.

Как происходит заражение сайта вирусами

1 Самая распространенная причина заражения сайта - неосторожность самого владельца. Люди очень часто сохраняют пароли от админки сайта в браузере. И если их компьютер завирусован, зловредная программа крадет пароль из браузера и отправляет его злоумышленнику. Тот заходит в админку вашего сайта и внедряет в код вирусы, которые моментально заражают все файлы. Обычно это происходит автоматически, с помощью специальных ботов. Т.е. у злоумышленника есть программы, которые на автопилоте, круглые сутки, заражают тысячи сайтов.

2 Вторая по распространенности причина - криворукие разработчики. Они еще во время выгрузки сайта на сервер могут его скомпрометировать (т.е. пароли от сайта могут быть украдены с их компьютера).

Например, пароли у разработчиков часто умыкают из их FTP-менеджеров - программ, с помощью которых сайт размещается на сервере.

В итоге будет все то же самое, что в предыдущем пункте.
Либо, как вариант, разработчик может установить на сайт какое-нибудь “дырявое” приложение, которое открывает “ворота” на сервер для вирусов.

3 Еще одна причина - некачественная система управления сайтом (CMS). Уязвимости в системе управления могут позволить злоумышленникам заразить сайт вирусами, украсть ваши данные, или вообще украсть сам сайт. Уязвимости иногда находят даже в очень известных и уважаемых движках. Чего уж говорить о самописных, никому не известных CMS.

4 Плохой хостинг-провайдер с некачественным программным обеспечением на серверах. Сегодня это встречается достаточно редко, но такой вариант возможен. Если хостинг-провайдер допустит уязвимость на своих серверах, это может привести к заражению расположенных там сайтов.

Кто и зачем заражает сайты вирусами?

Мы не будем рассматривать случаи взлома каких-то крупных порталов или соц.сетей. Поговорим об обычных сайтах, принадлежащих салонам красоты, юридическим компаниям, строительным фирмам и тому подобных. Кому нужно заражать их?

Чаще всего владельцы небольших сайтов грешат на конкурентов - мол, те решили насолить им и заразили их сайт. Но в 99,99% случаев это не так. Слишком сложно и дорого заказывать взлом одного конкретного сайта. Сайты заражают тысячами одновременно и делают это люди, которые зарабатывают на распространении вирусов, рекламе, размещении ссылок.

Про гарантии на сайты - вся правда

Вся правда о гарантиях на сайтыПодробно рассказываем о том, какие бывают гарантии на сайты, когда они действуют и что делать, если разработчик не хочет выполнять свои обязательства

Т.е., если вкратце, выглядеть это может примерно так. Есть человек, который получил скрытый доступ к тысячам завирусованных компьютеров (он мог купить эту сеть у другого хакера, либо создать ее самостоятельно с помощью различных ухищрений). Затем с зараженных компьютеров воруются пароли и логины доступа к панелям управления веб-ресурсами. Эти данные передаются в специальную программу, которая массово взламывает все сайты, пароли от которых у нее есть. Их может быть сотни, тысячи, десятки тысяч. На сайты загружается вредоносный код и модифицирует файлы. Теперь у хакера есть огромная сетка взломанных сайтов, которые находятся полностью под его управлением (пока владельцы не заметят и не удалят вирусы). Ну а дальше:

  • Он может разместить на взломанных сайтах какой-нибудь вирус, который будет заражать компьютеры посетителей
  • Либо вирус, который будет воровать деньги с карточек, блокировать телефоны и компьютеры
  • Либо, что очень часто бывает - вирус будет воровать аккаунты в соц.сетях (наверняка, у вас были случаи, когда какой-нибудь знакомый, с которым вы не общались десять лет, пишет вам в соцсети и просит деньги взаймы, а потом выясняется, что его взломали - вот это как раз тот случай).
  • Или же хакер может разместить на зараженных сайтах рекламу какой-нибудь ерунды и получать за это деньги
  • Либо он может рекламировать свои сайты через размещение ссылок в сетке зараженных ресурсов
  • Либо он может продать эту сетку зараженных сайтов другому такому же хакеру, которому лень самому взламывать сайты, но сетка нужна.
  • Есть еще куча других вариантов. Была бы сетка зараженных сайтов, а уж как ее использовать - всегда можно придумать.

Итак, ваш сайт заражен - что делать? Как удалить с него вирусы?

Эта инструкция будет очень полезна для обычных владельцев сайтов. Но если вы разработчик - вряд ли вы найдете здесь что-то новое.

1 Первое, что нужно понять - действовать надо быстро, очень быстро. Вирусы надо успеть удалить до того, как их заметят поисковики и антивирусы. Если Гугл или Яндекс обнаружат на вашем сайте вирусы, они пометят его в поиске, как небезопасный. А для себя поставят галочку, что эта страница плохого качества. Это очень негативно отразится на общем рейтинге вашего сайта в поисковых системах.
Кроме того, если вирусы на сайте заметит какой-нибудь антивирус Касперского, он добавит адрес вашего сайта в свою базу и вообще перестанет пускать туда посетителей. Поэтому торопитесь, если не хотите растерять 90% посетителей.

2 Перво-наперво обратитесь к тем, кто делал сайт. Они знают ваш сайт вдоль и поперек, у них должны сохраниться копии сайта в первозданном виде. Если они толковые ребята, скорее всего все проблемы будут решены за один день.

3 Если с разработчиком договориться не получается, обратитесь к хостинг-провайдеру (организации, которой вы платите за сервер, на котором лежит сайт). Часто они за небольшую плату предоставляют услуги по излечению сайта от вирусов. Стоит это везде по-разному - в среднем, 5-10 тысяч рублей (по ценам 2019 года).

4 Если и это не помогло, найдите организацию, которая занимается удалением вирусов с сайтов.

5 Кроме самого излечения от вирусов желательно понять, что к этому привело. Не способствовали ли этому какие-то ошибки в самом сайте, дыры в его безопасности? Спросите об этом тех, кто будет удалять с сайта вирусы. Желательно сразу сделать все возможное, чтобы предотвратить подобное в будущем.

Что делать, если поисковики и антивирусы блокируют ваш сайт?

Разработка seo-сайтов

Разработка seo-сайтов с пожизненной гарантиейСоздаем невероятные SEO-сайты, оптимизированные по 69 параметрам уже на этапе разработки

Как защитить ваш сайт от вирусов в будущем

  • Первое и самое главное - установите на компьютер, с которого заходите в админку сайта, хороший антивирус. Не бесплатный, а хороший платный антивирус. Если ваш сайт администрирует кто-то еще, там тоже должен стоять хороший антивирус.
  • Никогда не сохраняйте пароли в браузере. Храните их в отдельном файле.
  • Используйте сложные пароли - они должны состоять из цифр, букв в разных РЕГИСТРАХ, и знаков. Состоять пароль должен как минимум из 7 знаков, а лучше из 10 и больше.
  • Не используйте стандартные логины. Никаких “admin”, “administrator” и тому подобных.
  • Желательно периодически менять пароль. А если вы передаете его кому-то другому, то обязательно меняйте его после того, как тому человеку он будет больше не нужен.
  • Используйте хорошие, проверенные, максимально распространенные системы управления контентом. Это не защитит ваш сайт на 100%, но сведет к минимуму вероятность его взлома.
  • Доверяйте разработку сайта проверенным, хорошим разработчикам (например, нам:) ). Очень большой процент взломов происходит именно по вине некомпетентных разработчиков.
  • Хостинг-провайдера нужно выбирать крупного, проверенного, с хорошим рейтингом. Мы рекомендуем Бегет - очень хороший хостинг с расторопной техподдержкой. Найти что-то лучше будет очень сложно.

Нужен настоящий SEO-сайт и интернет-реклама ? Пишите, звоните:

Рано или поздно веб-разработчик, веб-мастер или любой другой специалист, обслуживающий сайт, может столкнуться с проблемами безопасности: ресурс попадает под санкции поисковой системы или начинает блокироваться антивирусом, с хостинга могут прислать уведомление об обнаружении вредоносного кода, а посетители начинают жаловаться на всплывающую рекламу или редиректы на “левые” сайты.


  1. проверки файлов и базы данных на хостинге на наличие серверных вредоносных скриптов и инжектов,
  2. проверки страниц сайта на вирусный код, скрытые редиректы и другие проблемы, которые, порой, невозможно выявить статическим сканером файлов.

Немного теории

  • по завершении загрузки страницы в нее добавляется javascript, который выполняет drive-by download атаку
  • пользователь уходит со страницы, в этот момент подгружается код и открывает popunder с контентом “для взрослых”
  • посетитель сайта находится на странице несколько секунд и только после этого его перенаправляют на платную подписку за смс
  • и т.п.




Если заранее неизвестно, какой код провоцирует данные несанкционированные действия, то обнаружить его статическим анализом чрезвычайно сложно. К счастью, есть анализ динамический или иногда его еще называют “поведенческим”. Если веб-сканер умный, он будет не просто анализировать исходный код страницы или файлов, но еще и пытаться совершать какие-то операции, эмулируя действия реального посетителя. После каждого действия или при определенных условиях робот сканера анализирует изменения и накапливает данные для итогового отчета: загружает страницу в нескольких браузерах (причем, не просто с разных User-Agent’ов, а с разными значениями объекта navigator в javascript, разными document.referer и т.п.), ускоряет внутренний таймер, отлавливает редиректы на внешние ресурсы, отслеживает то, что передается в eval(), document.write() и т.п. Продвинутый веб-сканер всегда будет проверять код страницы и объекты на ней как до начала выполнения всех скриптов (сразу после загрузки страницы), так и спустя некоторое время, поскольку современные “вредоносы” динамически добавляют или скрывают объекты на javascript, а также выполняют фоновые загрузки внутри динамических фреймов. Например, код зараженного виджета может через 3 секунды или по движению мыши загрузить скрипт, который вставит на страницу javascript с редиректом на загрузку опасного .apk файла. Естественно, никакой статический анализ (кроме как заранее знать, что виджет опасен) или поиск по файлам такое не выявит.

А теперь, с пониманием требований к диагностике сайта и веб-сканерам, попробуем найти те, которые действительно эффективны. К сожалению, то что представлено на первой странице поисковика по запросу “проверить сайт на вирусы онлайн” сразу никуда не годится. Это или “поделки”, которые в лучшем случае могут выполнить статический анализ страницы (например, найти IFRAME, который может быть и не опасен), или агрегаторы сторонних API, проверяющие URL сайта по базе Google Safe Browsing API, Yandex Safe Browing API или VirusTotal API.

Если проверять сайт десктопным антивирусом, то анализ будет скорее всего также статический: антивирус умело блокирует загрузки с известных ему зараженных сайтов, но какого-то глубокого динамического анализа страниц сайта от него не стоит ожидать (хотя некоторые антивирусы действительно обнаруживают сигнатуры в файлах и на странице).

В итоге, после проверки двух десятков известных сервисов, я бы хотел остановиться на представленных ниже.

Веб-сканер QUTTERA


Выполняет поиск вредоносного кода на страницах, используя бессигнатурный анализ. То есть обладает некой эвристикой и выполняет динамический анализ страниц, что позволяет обнаруживать 0-day угрозы. Из приятных особенностей стоит отметить возможность проверки сразу нескольких страниц сайта, поскольку проверять по одной не всегда эффективно.
Хорошо обнаруживает угрозы, связанные с загрузкой или размерещением троянов, завирусованных исполняемых файлов. Ориентирован на западные сайты с их характерными заражениями, но часто выручает и при проверке зараженных сайтов рунета. Поскольку сервис бесплатный, есть очередь на обработку задач, поэтому придется немного подождать.

Веб-сканер ReScan.pro


Выполняет динамический и статический анализ сайта. Поведенческим анализом детектятся скрытые редиректы, статический анализ ищет вирусные фрагменты на страницах и в загружаемых файлах, а базой черного списка определяются ресурсы, загружаемые с зараженных доменов. Ходит по внутренним ссылкам, поэтому кроме основного URL проверяет еще несколько смежных страниц сайта. Приятным дополнением является проверка сайта по блек-листам Яндекс, Google и VirusTotal. Ориентирован в основном на вредоносы, которые обитают в рунете. Поскольку сервис бесплатный, лимит на проверку – 3 запроса с одного IP в сутки.

Веб-сканер Sucuri


Ищет вирусный код по сигнатурам и с помощью эвристики. Отправляет запросы к нескольким URL на сайте с различными User Agent / Referer. Обнаруживает спам-ссылки, дорвей-страницы, опасные скрипты. Кроме того, умеет проверять актуальные версии CMS и веб-сервера. Ограничений на число проверок не замечено. Из небольшого минуса обнаружилось, что список проверенных сайтов с результатами индексируется поисковыми системами, то есть можно посмотреть, какой сайт и чем был заражен (сейчас в поисковом индексе около 90 000 страниц), тем не менее эффективности сканера это не умаляет.

Redleg's File Viewer


Еще один западный веб-сканер сайтов. Может немного отпугивать своим аскетичным интерфейсом из 90-х, но, тем не менее, он позволяет выполнить полноценный статический анализ сайта и подключенных на странице файлов. При сканировании пользователь может задать параметры User Agent, referer, параметры проверки страницы. В настройках есть проверка страницы из кэша Google. Лимитов на проверку сайтов не обнаружено.

VirusTotal


Ну и, наконец, знакомый многим VirusTotal. Он не является в полной мере веб-сканером, но его также рекомендуется использовать для диагностики, так как он является агрегатором нескольких десятков антивирусов и антивирусных сервисов.

Упомянутые веб-сканеры можно добавить в закладки, чтобы при необходимости провести диагностику сразу эффективными инструментами, и не тратить время на платные или неэффективные сервисы.


Поговорим о компьютерных вирусах? Нет, не о том, что вчера поймал ваш антивирус. Не о том, что вы скачали под видом инсталлятора очередного Photoshop. Не о rootkit-e, который стоит на вашем сервере, маскируясь под системный процесс. Не о поисковых барах, downloader-ах и другой малвари. Не о коде, который делает плохие вещи от вашего имени и хочет ваши деньги. Нет, всё это коммерция, никакой романтики…

В общем, для статьи вполне достаточно лирики, перейдем к делу. Я хочу рассказать о классическом вирусе, его структуре, основных понятиях, методах детектирования и алгоритмах, которые используются обеими сторонами для победы.

Мы будем говорить о вирусах, живущих в исполняемых файлах форматов PE и ELF, то есть о вирусах, тело которых представляет собой исполняемый код для платформы x86. Кроме того, пусть наш вирус не будет уничтожать исходный файл, полностью сохраняя его работоспособность и корректно инфицируя любой подходящий исполняемый файл. Да, ломать гораздо проще, но мы же договорились говорить о правильных вирусах, да? Чтобы материал был актуальным, я не буду тратить время на рассмотрение инфекторов старого формата COM, хотя именно на нем были обкатаны первые продвинутые техники работы с исполняемым кодом.

Начнём со свойств кода вируса. Чтобы код удобней было внедрять, разделять код и данные не хочется, поэтому обычно используется интеграция данных прямо в исполняемый код. Ну, например, так:


Все эти варианты кода при определенных условиях можно просто скопировать в память и сделать JMP на первую инструкцию. Правильно написав такой код, позаботившись о правильных смещениях, системных вызовах, чистоте стека до и после исполнения, и т.д., его можно внедрять внутрь буфера с чужим кодом.

  • Куда положить вирус? Необходимо найти достаточно места, чтобы вирус туда поместился, записать его туда, по возможности не разломав файл и так, чтобы в области, в которой вирус окажется, было разрешено исполнение кода.
  • Как передать управление на вирус? Просто положить вирус в файл недостаточно, надо еще совершить переход на его тело, а после завершения его работы вернуть управление программе-жертве. Или в другом порядке, но, в любом случае, мы же договорились не ломать ничего, да?

Исполняемый файл (PE или ELF) состоит из заголовка и набора секций. Секции – это выровненные (см. ниже) буферы с кодом или данными. При запуске файла секции копируются в память и под них выделяется память, причем совсем необязательно того объёма, который они занимали на диске. Заголовок содержит разметку секций, и сообщает загрузчику, как расположены секции в файле, когда он лежит на диске, и каким образом необходимо расположить их в памяти перед тем, как передать управление коду внутри файла. Для нас интересны три ключевых параметра для каждой секции, это psize, vsize, и flags. Psize (physical size) представляет собой размер секции на диске. Vsize (virtual size) – размер секции в памяти после загрузки файла. Flags – атрибуты секции (rwx). Psize и Vsize могут существенно различаться, например, если программист объявил в программе массив в миллион элементов, но собирается заполнять его в процессе исполнения, компилятор не увеличит psize (на диске содержимое массива хранить до запуска не нужно), а вот vsize увеличит на миллион чего-то там (в runtime для массива должно быть выделено достаточно памяти).

Флаги (атрибуты доступа) будут присвоены страницам памяти, в которые секция будет отображена. Например, секция с исполняемым кодом будет иметь атрибуты r_x (read, execute), а секция данных атрибуты rw_ (read,write). Процессор, попытавшись исполнить код на странице без флага исполнения, сгенерирует исключение, то же касается попытки записи на страницу без атрибута w, поэтому, размещая код вируса, вирмейкер должен учитывать атрибуты страниц памяти, в которых будет располагаться код вируса. Стандартные секции неинициализированных данных (например, область стека программы) до недавнего времени имели атрибуты rwx (read, write, execute), что позволяло копировать код прямо в стек и исполнять его там. Сейчас это считается немодным и небезопасным, и в последних операционных системах область стека предназначена только для данных. Разумеется, программа может и сама изменить атрибуты страницы памяти в runtime, но это усложняет реализацию.

Также, в заголовке лежит Entry Point — адрес первой инструкции, с которой начинается исполнение файла.

Необходимо упомянуть и о таком важном для вирмейкеров свойстве исполняемых файлов, как выравнивание. Для того чтобы файл оптимально читался с диска и отображался в память, секции в исполняемых файлах выровнены по границам, кратным степеням двойки, а свободное место, оставшееся от выравнивания (padding) заполнено чем-нибудь на усмотрение компилятора. Например, логично выравнивать секции по размеру страницы памяти – тогда ее удобно целиком копировать в память и назначать атрибуты. Даже вспоминать не буду про все эти выравнивания, везде, где лежит мало-мальски стандартный кусок данных или кода, его выравнивают (любой программист знает, что в километре ровно 1024 метра). Ну а описание стандартов Portable Executable (PE) и Executable Linux Format (ELF) для работающего с методами защиты исполняемого кода – это настольные книжки.

  • поставить указатель точно на начало какой-нибудь инструкции (просто так взять рандомное место в исполняемой секции и начать дизассемблирование с него нельзя, один и тот же байт может быть и опкодом инструкции, и данными)
  • определить длину инструкции (для архитектуры x86 инструкции имеют разные длины)
  • переместить указатель вперед на эту длину. Мы окажемся на начале следующей инструкции.
  • повторять, пока не решим остановиться
  1. Выбираем вкусный исполняемый файл (достаточно толстый, чтобы в него поместилось тело вируса, с нужным распределением секций и т.п.).
  2. Читаем свой код (код тела вируса).
  3. Берем несколько первых инструкций из файла-жертвы.
  4. Дописываем их к коду вируса (сохраняем информацию, необходимую для восстановления работоспособности).
  5. Дописываем к коду вируса переход на инструкцию, продолжающую исполнение кода-жертвы. Таким образом, после исполнения собственного кода вирус корректно исполнит пролог кода-жертвы.
  6. Создаем новую секцию, записываем туда код вируса и правим заголовок.
  7. На место этих первых инструкций кладем переход на код вируса.

Думаю, не надо описывать вам компоненты современного антивируса, все они крутятся вокруг одного функционала – антивирусного детектора. Монитор, проверяющий файлы на лету, сканирование дисков, проверка почтовых вложений, карантин и запоминание уже проверенных файлов – все это обвязка основного детектирующего ядра. Второй ключевой компонент антивируса – пополняемые базы признаков, без которых поддержание антивируса в актуальном состоянии невозможно. Третий, достаточно важный, но заслуживающий отдельного цикла статей компонент – мониторинг системы на предмет подозрительной деятельности.

Итак (рассматриваем классические вирусы), на входе имеем исполняемый файл и один из сотни тысяч потенциальных вирусов в нем. Давайте детектировать. Пусть это кусок исполняемого кода вируса:

  • сокрытие кода самого вируса;
  • сокрытие его точки входа.

Сокрытие точки входа (Entry Point Obscuring) в результате послужило толчком для появления в вирусных движках автоматических дизассемблеров для определения, как минимум, инструкций перехода. Вирус старается скрыть место, с которого происходит переход на его код, используя из файла то, что в итоге приводит к переходу: JMP, CALL, RET всякие, таблицы адресов и т.п. Таким образом, вирус затрудняет указание смещения сигнатуры.

Гораздо более подробно некоторые алгоритмы таких движков и детектора мы посмотрим во второй статье, которую я планирую написать в ближайшее время.

Рассмотренный в статье детектор легко детектирует неполиморфные (мономорфными их назвать, что ли) вирусы. Ну а переход к полиморфным вирусам является отличным поводом, наконец, завершить эту статью, пообещав вернуться к более интересным методам сокрытия исполняемого кода во второй части.

Заражение сайта вирусами — риск, который есть практически у каждого ресурса, что может привести к серьёзным последствиям: сбоям в работе сайта, краже данных пользователей или блокировке страницы.

И, если сегодня вы сделали всё возможное, чтобы обезопасить сайт, это не значит, что завтра ваш сайт не попробуют атаковать новыми методами или новым вредоносным кодом. Что делать в этом случае и как проверить свой ресурс? На помощь приходят веб-сканеры, которые выполняют анализ сайта. Сегодня расскажем о том, как понять, что ваш ресурс заражён, и сервисах, где можно проверить сайт на вирусы самостоятельно.

Что такое вирусы

Вирус — это код, который используют злоумышленники в своих интересах. Он может не только вредить работе сайта, но и заражать дальше его посетителей.

Вирусы влияют на посещаемость и портят репутацию сайтов. Поисковые системы предупреждают пользователей о зараженных интернет-ресурсах, понижают сайты в выдаче, а в некоторых случаях (например, если злоумышленник разместил спам) отправляют их в чёрный список.

Согласно исследованию компании Acunetix, более 87% сайтов имеют уязвимости среднего уровня, а 46% веб-ресурсов имеют высокий риск заражения вирусами. Это значит, что регулярная проверка на вирусы актуальна для любого сайта.

Проверка сайта на вирусы делится на два основных типа:

  1. Проверка контента. Самый простой способ, которым злоумышленники могут заразить сайт — через контент. Представим, что на вашем ресурсе есть поля для комментариев. Именно через них хакер может разместить вирусный файл.
  2. Проверка кода. В этом случае проверяется все элементы сайта. Это может быть долго, но подождать определённо стоит. Особенно, когда ваш сайт используется в коммерческих целях и принимает денежные платежи.

Как понять, что сайт заражён

При появлении одного или нескольких тревожных сигналов, обязательно нужно проверить сайт в специальных сервисах.

Сервисы для проверки сайта

Проверка сайта на вирусы с помощью поисковых систем


После этой проверки можно переходить к наиболее популярным онлайн-сканерам.

Dr.Web

Kaspersky VirusDesk

Наверное, один из самых популярных русскоязычных антивирусов, который выполняет и проверку сайтов. В нём можно проверить файлы размером до 50 МБ простым перетаскиванием мышкой. После проверки пользователь получит результат в виде отчёта, которая может содержать три статуса: плохая репутация, хорошая или неизвестная.

QUTTERA

Абсолютно бесплатный сервис, ориентированный на зарубежные сайты, но отлично справляется и с проверкой доменов Рунета. Хорошо обнаруживает угрозы, связанные с загрузкой или размещением троянов, завирусованных исполняемых файлов и проверяет репутацию ресурса в чёрных списках.

Sucuri

Платный сервис, который проводит эвристический анализ по собственному алгоритму проверки.

Эвристический анализ — метод обнаружения вирусов и вредоносного ПО, которого нет в базах (вирусных сигнатурах), через изучение фрагментов кода и сравнения их с известными вирусными угрозами.

Sucuri хорош тем, что обнаруживает спам-ссылки и опасные скрипты, проверяет актуальность версий CMS и веб-серверов. Для использования надо зарегистрироваться и выбрать тарифный план. Несмотря на то, что цены могут показаться высокими, сервис предлагает полную поддержку и даже удаление вредоносного кода специалистами.

VirusTotal

Antivirus-alarm

Русскоязычный, надёжный сервис. Сайт использует базы данных передовых антивирусных систем от ESET и Kaspersky Labs. Если ваша цель не просто найти вирус, но и вылечить — этот сервис для вас. И, кстати, всё без регистрации и смс 😉 .

Профилактика вирусного поражения сайта

В последнее время в Рунете появилось вредоносное программное обеспечение нового типа – программы, созданные для искажения страниц в браузере пользователя. Поскольку нас интересует поиск, мы рассмотрим деятельность этих программ в контексте поисковых систем.

Эта проблема существует для всех популярных в Рунете поисковиков – для Яндекса, Google, Рамблера, MSN (Live). Кроме того, вирус может подменять не только страницы с результатами поиска, а вообще любые сайты.

Чаще всего на зараженном компьютере вирус ведет себя одним из двух способов:

  • Вирус подменяет html-код страницы с результатами поиска, подставляя вместо одного из результатов ссылку и описание другого сайта. Дизайн и общий вид подмененной позиции похожи на обычные результаты поиска, но сам сайт к заданному запросу отношения не имеет. Например, по запросу [самолет] выводится порносайт, или по запросу [Яндекс] – сайт другой компании. Если задать тот же самый запрос еще раз, нерелевантный сайт исчезнет из результатов поиска.
  • Другой вариант появился позднее, возможно, вследствие того, что пользователи меньше кликали по нерелевантным ответам. По запросу пользователя страница выдачи не изменяется, но при переходе по одному из первых результатов поиска вирус переадресовывает пользователя на другой сайт.

Вирус подмены страниц используется для воровства и продажи трафика – с его помощью можно получить, по самым скромным оценкам, несколько сот тысяч переходов в день. Переходы пользователей продаются рекламодателям как контекстная реклама.

Схема работы мошенников выглядит следующим образом:

В результате проигрывают все – кроме авторов вируса, конечно. Пользователь не находит нужную информацию. Рекламодатель платит за нецелевой трафик. Поисковая система теряет репутацию – обнаружив последствия работы вируса подмены, некоторые пользователи обвиняют поисковики в продаже мест на первых страницах выдачи.

Кроме того, можно избавиться от вируса при помощи утилиты Касперского или CureIt от "Доктора Веба".

Мы рассчитываем на то, что вместе с антивирусными компаниями нам удастся остановить распространение вируса и появление его новых образцов.

Читайте также: