В официальном блоге Яндекса появилось о том, что по рунету ходит вирус, имеющий прямое отношение к поиску. Мало того, что к поиску, добавим мы от себя, к качеству выдачи (соответственно, недовольству пользователей и снижению доверия поисковику) и, что должно быть еще более возмутительно с точки зрения Яндекса, – вмешательству конкурирующей системы контекстной рекламы в работу поисковика. Но обо всем по порядку.
Суть действия вируса заключается в подмене страниц в результатах поисках всех популярных в рунете поисковиков – Яндекса, Google, Рамблера, MSN (Live).
Называется два варианта работы вируса:
1. Заменяет ссылку на сайт, например, найденный поисковой системой, ссылкой на какой-то другой сайт, который не имеет или почти не имеет отношения к заданному запросу. При перезагрузке страницы или повторном запросе ссылка на подставной сайт может исчезнуть.
Такая схема работает уже давно, на этом – пример подмены ссылки, который был замечен пользователем Яндекса еще в декабре 2007 года.
Отметим, вверху скриншота можно разглядеть подпись: Hacked by Godzilla
2. При переходе пользователя по ссылке вирус переадресовывает его на другой сайт.
В этом случае пользователь оказывается совсем не там, где ожидал.
Для этого варианта примеров уйма, о них уже давно пользователи, но реакция Яндекса последовала только сейчас. Причем практически во всех случаях упоминаются различные сайты РБК, на которые происходит редирект пользователя. Также постоянно в этой истории фигурирует название системы контекстной рекламы , принадлежащей РБК.
Долгую предысторию догадок и сопоставления фактов на различных рунетовских ресурсах приводить не будем. К чему пришли сотрудники Яндекса.
Сейчас в рунете сотни тысяч компьютеров заражены вирусом подмены. Один из возможных источников «заразы» – пользователь устанавливает ускоритель закачки файлов BitAccelerator от файлообменника Letitbit.net. Вместе с этой программой распространяется скрытая библиотека. При удалении самого BitAccelerator эта библиотека остается на компьютере.
Пример проверенного «касперским» файла:
Проверенный файл: BitAccelerator.exe — Инфицирован
BitAccelerator.exe/data00¬06 — инфицирован not-a-virus:AdTool.Win32.¬BitAccelerator.m
BitAccelerator.exe/data00¬07 — инфицирован not-a-virus:AdTool.Win32.¬BitAccelerator.o
BitAccelerator.exe/data00¬08/data0006 — инфицирован not-a-virus:AdTool.Win32.¬VirtualNetwork.d
Как пишет Яндекс, до недавнего времени антивирусные компании классифицировали вирусы подмены страниц как рекламный софт, не приносящий ни вреда, ни пользы.
Однако посмотрим, что происходит с поисковой выдачей на компьютерах, зараженных «рекламным софтом».
внимательного пользователя:
«При переходе в Яндексе с результатов поиска стали время от времени вместо искомого сайта открываться разные ресурсы РБК 🙂
Наиболее часто открывается головная страница www.rbc.ru, далее следуют некоторые подпроекты вроде кредитов, podarki.rbc.ru, почта ру (или как её там…) и так далее…»
Очевидно, что такая ситуация приносит пользу только создателям вируса, но остальным — пользователям и поисковым системам — наносится вред.
Яндекс провел с антивирусными компаниями совместные обсуждения и исследования, и результатом стало признание «рекламного софта» вирусом и соответственно, как пишет Яндекс, «сейчас почти все распространенные антивирусы автоматически обнаруживают и удаляют вирусы подмены».
Один из пользователей приводит пример статистики li.ru, которая показывает, что переходы по запросу производятся с referer’а .
Схема работы создателей вируса чрезвычайно выгодна для них, потому что они получают практически бесплатно трафик, который затем продают рекламодателям в качестве контекстной рекламы. При этом сами рекламодатели зачастую не осознают бессмысленность этого трафика, который не может дать никакой практически конвертации.
Распространение вируса подмены страниц вредит, по сути, не только поисковикам и пользователям, но и оптимизаторам, которые вкладывают силы в продвижение сайтов, а в выдаче пользователей оказываются вместо клиентских сайтов различные ресурсы, не соответствующие запросу.
