Поисковик предупреждает об инфекции

Некоторые пользователи Microsoft Windows начали получать результаты поисковой выдачи Google в сопровождении броского и необычного уведомления, размещенного вверху страницы. Оно гласит, что подключившийся компьютер, по всей видимости, заражен зловредом, перехватывающим результаты поиска, и для исправления ситуации можно воспользоваться указанной ссылкой.

Компания отважилась на этот беспрецедентный шаг после того, как обнаружила, что вредоносный перехватчик поразил порядка 2-х миллионов машин. При подключении жертвы к любой поисковой системе резидентный зловред проводит трафик через несколько прокси-серверов, контролируемых злоумышленниками. Эти промежуточные звенья нужны для подмены результатов поисковой выдачи в пользу сайтов, владельцы которых платят партнерам за привлечение потенциальных покупателей (схема Рay-per-Сlick, РРС). В отсутствие доступа к поисковику вредоносная программа, используя штатный PING донора, периодически проверяет активность соответствующего узла.

Исследователи обнаружили источник необычного трафика, когда проводили плановую проверку в одном из дата-центров Google. Обычно при отключении серверов от Сети поисковый трафик временно иссякает. Однако в этот раз картина была иной: на адрес уже бездействующего дата-центра продолжали поступать тысячи запросов в секунду. К счастью, трафик, генерируемый зловредом, весьма специфичен, что позволило экспертам отследить очаги заражения и организовать оповещение пострадавших.

По свидетельству Google, зловред ориентирован на платформу Windows. На компьютере жертвы он предположительно появляется вместе с одним из сотни лжеантивирусов или загружается чуть позже как дополнительный компонент. Предупреждая владельцев зараженных машин, эксперты рекомендуют решать проблему с помощью штатного антивируса. От себя замечу, что текст предупреждения Google оставляет желать лучшего, так как подозрительно напоминает те уведомления, которые любят выводить фейковые антивирусы. Однако эксперты уверены, что путаницы и подделок не будет: ведь предупреждение размещено не на страницах, указанных в поисковой выдаче, и не на сайдбаре вместе с рекламой, а в заголовке страницы с перечнем результатов поиска.