Вирус подмены страниц

[radioelectron 80]

В блоге Яндекса появилась такая запись:

Некоторое время назад в Рунете появился новый вирус. Мы решили написать про него, потому что этот вирус имеет прямое отношение к поиску.

Назвать его можно «вирусом подмены страниц». Суть деятельности вируса — в изменении содержимого страниц в браузере пользователя. Мы знаем два основных способа проявления этого вируса:

• Заменяет ссылку на сайт, например, найденный поисковой системой, ссылкой на какой-то другой сайт, который не имеет или почти не имеет отношения к заданному запросу. При перезагрузке страницы или повторном запросе ссылка на подставной сайт может исчезнуть.
• При переходе пользователя по ссылке вирус переадресовывает его на другой сайт. В этом случае пользователь оказывается совсем не там, где ожидал.

Распространенная сейчас модификация вируса подменяет результаты всех популярных в Рунете поисковиков -- Яндекса, Google, Рамблера, MSN (Live).

Заразить свой компьютер вирусом подмены можно разными способами — например, установив ускоритель закачки файлов BitAccelerator от файлообменника Letitbit.net. Вместе с этой программой распространяется скрытая библиотека. Даже если вы удалите сам BitAccelerator, эта библиотека останется с вами.

Масштабы распространения вируса в Рунете достаточно велики — по нашей оценке, сейчас можно говорить уже о сотнях тысяч зараженных компьютеров. Более подробно принцип действия вируса описан здесь.

Теперь – самое главное. Как вылечить свой компьютер?

До недавнего времени антивирусные компании классифицировали вирусы подмены страниц как рекламный софт, не приносящий ни вреда, ни пользы. В результате совместных с нами обсуждений и исследований большинство антивирусных компаний пришло к выводу, что такие программы представляют несомненную угрозу. Сейчас почти все распространенные антивирусы автоматически обнаруживают и удаляют вирусы подмены.

Кроме того, можно гарантированно избавиться от вируса при помощи бесплатного приложения Я.Онлайн с антивирусом Касперского или утилиты CureIt от "Доктора Веба". Скачать Я.Онлайн можно по адресу online.yandex.ru, а утилиту CureIt — с сайта компании "Доктор Веб": freedrweb.com. Кроме того, сейчас готовится небольшая утилита от Лаборатории Касперского. О ее выпуске мы сообщим в этом блоге и в разделе Помощь.

Мы надеемся, что вместе с антивирусными компаниями сможем остановить распространение вируса и появление его новых образцов. Если после перехода по ссылке из результатов поиска вы вдруг оказались не там, где ожидали — обновите свой антивирус, либо скачайте CureIt или Я.Онлайн.

Служба безопасности страниц

[2600 64]

Symantec указать забыли.

[radioelectron 80]

Symantec указать забыли.

Яндекс в данный момент дружит только с Каспером и Вебом. :-)

[Lemmit 31]

Мне понравился коммент: "Вирус подмены страниц, голактеко в опасносте!"

[удалено, чтобы не плодить ненависть и офтопики]

[Иван 290]

Без сомнения, гордый DrWeb, полный великих и остроумных сотрудников, спасет галактику и от этой угрозы!

очень смешно

[Alex_Goodwin 81]

Symantec указать забыли.

И под каким именем симантек детектирует этот вирус?

[radioelectron 80]

«Яндекс» поднял антивирусников на борьбу с подменой ссылок в выдаче.

[alexgr 556]

Без сомнения, гордый DrWeb, полный великих и остроумных сотрудников, спасет галактику и от этой угрозы!

И сколько иронии.... Удивительно даже - это с сайта Доктора? А CureIt! - удачное творение, о чем лично убеждался не раз - разговаривая с поклонниками иных продуктов, точнее, продуктов иных вендоров

То есть - продукты ЛК в состоянии спасти - тут вопросов не возникает. Все протчие - просто тупые бездари, ни на что не способные? Оригинально!

[teofrast 0]

Как клево они старое название adware обозвали - "вирус подмены".

[Winny 10]

И сколько иронии....

Нет, это просто фанатизм, плавно перетекающий в... ну Вы там сами срифмуйте.

[2600 64]

Цитата(2600 @ 27.05.2008, 21:54) *

Symantec указать забыли.

И под каким именем симантек детектирует этот вирус?

Их навалом, и были они уже много лет назад - в самой статье ни одного названия вируса не написано.

Так что указать, Вам, детектируемое имя вируса Symantecом к глубочайшему сожалению я не могу.

Лично я встречал года 3-4 назад подмену страниц и т.д. Вся проблема была в BHO - функция Internet Explorer.

И в основном это чудо подмены можете подцепить на сайтах не совсем пристойного содержания.

[radioelectron 80]

Вирус подмены страниц: утилита Лаборатории Касперского

Две недели назад мы сообщили о том, что готовится к выпуску небольшая утилита от Лаборатории Касперского, которая наряду с остальными антивирусными инструментами позволит избавиться от вируса подмены страниц. Сегодня утилита klwk.com уже доступна на сайте Лаборатории Касперского. Размер архива — всего 100 Кб.

Александр Куприянов, удаляю вирусы.

© http://company.yandex.ru/blog/index.xml?&msg=102801

[Андрей-001 1099]

Не раз уже замечал, как быстро после обсуждения (или хотя бы маломальского поста) на этом форуме появляются новые антималваре-решения, выходят новые версии программ и исправления. Может это просто совпадения, а может и нет. Другие примеры: п.4689, п.4329 и даже тема про Win32.Ntldrbot (aka Rustock.C).

[IT-Shark 0]

И в основном это чудо подмены можете подцепить на сайтах не совсем пристойного содержания.

Угу. Или в дистрах по гос. программе. Смотрим здесь

Или вот еще одно открытие: решил тут чего-то вдруг проверить архив на виндузовой машине в одной подшефной школе и обнаружил:

Trojan.Win32.StartPage.axk

в дистрибутиве Win XP, входящем в состав СППО (!)

комичность ситуации добавляет тот факт, что обнаруживается эта бяка входящем в тот же дистр. Касперским. ))))

Диструктивная функция вируса - подмена стартовой страницы Explorer-а на shkola.edu.ru, причем без возможности указать что-либо иное... (и кстати, надо же было домен такой придумать - и не по русски, и не по-английски...)

как мне кажется, наличие вируса в дистрибутиве, официально поставляемом по госконтракту в школы попахивает нарушением Российского законодательства, ну или уж странно выглядит - это точно...

Взято отсюда

Вот и борись после этого с говнищем...