Наташин блогЛичный Наташин дневничок…

В результате жестких мер со стороны поисковика рейтинг многих сотен сайтов был изменен  – их стало сложнее найти в через поиск "Яндекса".

Причина – использование ими нечестных методов оптимизации – услуги, цель которой состоит в том, чтобы вывести тот или иной ресурс как можно выше – в идеале на первое место первой страницы – в результатах поисковика.

К некоторым методам поисковой оптимизации поисковики относятся лояльно, к другим – нет. И именно в использовании незаконных или, как их еще называют, "черных" методов и были заподозрены владельцы тысяч сайтов. По словам представителей "Яндекса", проштрафившиеся ресурсы воспользовались сетью зараженных компьютеров – ботнетом, который выполнял автоматические заполнения запросов в строке поиска, а затем переходил по ним, тем самым влияя на положение сайта в выдаче.

В "Яндексе" не уточняют, что именно за ботнет был задействован. Однако, по мнению специалистов "Лаборатории Касперского", речь идет об одной из самых многочисленных зомби-сетей, которая к тому же состоит из компьютеров, зараженных одним из самых сложных и с трудом детектируемых вирусов современности.

Речь о TDSS или, как его еще называют, TDL, относящегося к классу руткитов – семейства вирусов, умеющих виртуозно скрывать следы своего присутствия в системе. Впервые TDSS появился в 2008 году. Сегодня мы имеем дело уже с четвертой версией это вредоносной программы. Масштаб бедствия впечатляет – на данный момент им заражены более 10 миллионов компьютеров по всему миру.

При этом, вирус поражает аналитиков своей сложностью и виртуозностью исполнения. К примеру, часть кода отвечающего за первичную загрузку вируса в систему, представляет собой модифицированный код загрузчика от Stuxnet – легендарного вируса, чей целью были объекты атомной промышленности Ирана.

"Если компьютер заражается этой вредоносной программой, это выглядит следующим образом, - рассказывает вирусный аналитик "Лаборатории Касперского" Сергей Голованов. - Открывается браузер, пользователь там что-то ищет: в Twitter, в Google – неважно, кликает на какую-нибудь ссылку, и компьютер перезагружается. Не спрашивает ни логинов ни паролей – просто берет и перезагружается. Загружается – уже все, он заражен. И если никакие защитные механизмы не сработали – то все, до свидания!"

Еще одна особенность TDSS, которая позволяет ему обходить защитные механизмы антивирусов, – наличие у него собственной файловой системы. Вирус, попав на компьютер, выделяет для своего существования некий раздел жесткого диска, который он шифрует, тем самым не давая возможности антивирусным программам его проверить и удалить.

Необычна и специализация вируса. Обычно ботнеты, состоящие из зараженных компьютеров, используются для рассылки спама или выступают в качестве оружия массового поражения – с их помощью устраивают атаки на те или иные ресурсы, так называемые DDoS-атаки. TDSS же зарабатывает своим владельцам деньги иными способом – за счет махинаций с интернет-рекламой.

"Есть куча рекламных агентств, которые работают в Интернете, - говорит Сергей Голованов. - Есть SEO-конторы, которые выведут в топ "Яндекса". И они получают от нормальных компаний деньги за это. Разработчики TDSS как раз и планировали заняться махинациями и присосаться к трубе, по которой текут деньги: от заказчиков до этих рекламных агенств в Интернете – и заниматься махинациями именно там".

Именно в результате одной из таких махинаций и были приняты жесткие меры против владельцев более сотни интернет-ресурсов, которые поднимали свои позиции в поисковой выдаче "Яндекса" при помощи ботнета, состоящего из компьютеров, зараженных TDSS, зомби-машины набирали нужные поисковые запросы и сами же переходили на нужные сайты.

Однако это не единственная сфера применения вируса. Другая, тоже связанная с интернет-рекламой, заключается в том, что он умеет подменять одни рекламные баннеры на другие. "Если пользователь заражен TDSS, то он увидит в принципе тоже рекламу, но только эта реклама будет показана не компанией Google, а какой-то другой конторой, - объясняет Голованов. - Как визуально можно увидеть TDSS – заходишь с незараженного компьютера на сайт BBC, и там висят баннеры. Заходишь с зараженного – тоже висят баннеры, но уже другие. Зараженные пользователи, которые кликают на баннеры, они косвенно, но все-таки платят деньги создателям TDSS".

Резоны "Яндекса", принявшего жесткие меры, понятны – существование такого ботнета негативным образом сказывается на основном источнике дохода компании, интернет-рекламе.

Интересен и другой момент. Большой ботнет, работающий на Западе, состоит из компьютеров, зараженных TDSS-4, в России же данная версия замечена не была. По словам аналитиков "Лаборатории Касперского", создатели вируса продали в Россию предыдущую, устаревшую версию. Продали, кстати, совсем недешево – за 10 тысяч долларов. При этом, предположительно, между продавцами и покупателями был подписан своеобразный пакт о разделении сфер влияния. Старый TDSS можно использовать на территории СНГ, а сами же авторы вируса оставляют за собой западный рынок, что позволяет его создателям зарабатывать около одного миллиона долларов в месяц.