«Яндекс» борется с неуловимым сетевым зомби

«Яндекс» наказал более тысячи сайтов за использование нечестных методов продвижения. В результате жестких мер со стороны поисковика рейтинг многих сотен сайтов был изменен – их стало сложнее найти в через поиск «Яндекса».

«Яндекс» наказал более тысячи сайтов за использование нечестных методов продвижения. В результате жестких мер со стороны поисковика рейтинг многих сотен сайтов был изменен  – их стало сложнее найти в через поиск «Яндекса». Причина – использование ими нечестных методов оптимизации – услуги, цель которой состоит в том, чтобы вывести тот или иной ресурс как можно выше – в идеале на первое место первой страницы – в результатах поисковика.

К некоторым методам поисковой оптимизации поисковики относятся лояльно, к другим – нет. И именно в использовании незаконных или, как их еще называют, «черных» методов и были заподозрены владельцы тысяч сайтов. По словам представителей «Яндекса», проштрафившиеся ресурсы воспользовались сетью зараженных компьютеров – ботнетом, который выполнял автоматические заполнения запросов в строке поиска, а затем переходил по ним, тем самым влияя на положение сайта в выдаче.

В «Яндексе» не уточняют, что именно за ботнет был задействован. Однако, по мнению специалистов «Лаборатории Касперского», речь идет об одной из самых многочисленных зомби-сетей, которая к тому же состоит из компьютеров, зараженных одним из самых сложных и с трудом детектируемых вирусов современности.

Речь о TDSS или, как его еще называют, TDL, относящегося к классу руткитов – семейства вирусов, умеющих виртуозно скрывать следы своего присутствия в системе. Впервые TDSS появился в 2008 году. Сегодня мы имеем дело уже с четвертой версией это вредоносной программы. Масштаб бедствия впечатляет – на данный момент им заражены более 10 миллионов компьютеров по всему миру.

При этом, вирус поражает аналитиков своей сложностью и виртуозностью исполнения. К примеру, часть кода отвечающего за первичную загрузку вируса в систему, представляет собой модифицированный код загрузчика от Stuxnet – легендарного вируса, чей целью были объекты атомной промышленности Ирана.

«Если компьютер заражается этой вредоносной программой, это выглядит следующим образом, — рассказывает вирусный аналитик „Лаборатории Касперского“ Сергей Голованов. — Открывается браузер, пользователь там что-то ищет: в Twitter, в Google – неважно, кликает на какую-нибудь ссылку, и компьютер перезагружается. Не спрашивает ни логинов ни паролей – просто берет и перезагружается. Загружается – уже все, он заражен. И если никакие защитные механизмы не сработали – то все, до свидания!»

Еще одна особенность TDSS, которая позволяет ему обходить защитные механизмы антивирусов, – наличие у него собственной файловой системы. Вирус, попав на компьютер, выделяет для своего существования некий раздел жесткого диска, который он шифрует, тем самым не давая возможности антивирусным программам его проверить и удалить.

Необычна и специализация вируса. Обычно ботнеты, состоящие из зараженных компьютеров, используются для рассылки спама или выступают в качестве оружия массового поражения – с их помощью устраивают атаки на те или иные ресурсы, так называемые DDoS-атаки. TDSS же зарабатывает своим владельцам деньги иными способом – за счет махинаций с интернет-рекламой.

«Есть куча рекламных агентств, которые работают в Интернете, — говорит Сергей Голованов. — Есть SEO-конторы, которые выведут в топ „Яндекса“. И они получают от нормальных компаний деньги за это. Разработчики TDSS как раз и планировали заняться махинациями и присосаться к трубе, по которой текут деньги: от заказчиков до этих рекламных агенств в Интернете – и заниматься махинациями именно там».

Именно в результате одной из таких махинаций и были приняты жеские меры против владельцев более сотни интернет-ресурсов, которые поднимали свои позиции в поисковой выдаче «Яндекса» при помощи ботнета, состоящего из компьютеров, зараженных TDSS, зомби-машины набирали нужные поисковые запросы и сами же переходили на нужные сайты.

Однако это не единственная сфера применения вируса. Другая, тоже связанная с интернет-рекламой, заключается в том, что он умеет подменять одни рекламные баннеры на другие. «Если пользователь заражен TDSS, то он увидит в принципе тоже рекламу, но только эта реклама будет показана не компанией Google, а какой-то другой конторой, — объясняет Голованов. — Как визуально можно увидеть TDSS – заходишь с незараженного компьютера на сайт BBC, и там висят баннеры. Заходишь с зараженного – тоже висят баннеры, но уже другие. Зараженные пользователи, которые кликают на баннеры, они косвенно, но все-таки платят деньги создателям TDSS».

Резоны «Яндекса», принявшего жесткие меры, понятны – существование такого ботнета негативным образом сказывается на основном источнике дохода компании, интернет-рекламе.

Интересен и другой момент. Большой ботнет, работающий на Западе, состоит из компьютеров, зараженных TDSS-4, в России же данная версия замечена не была. По словам аналитиков «Лаборатории Касперского», создатели вируса продали в Россию предыдущую, устаревшую версию. Продали, кстати, совсем недешево – за 10 тысяч долларов. При этом, предположительно, между продавцами и покупателями был подписан своеобразный пакт о разделении сфер влияния. Старый TDSS можно использовать на территории СНГ, а сами же авторы вируса оставляют за собой западный рынок, что позволяет его создателям зарабатывать около одного миллиона долларов в месяц.