Тем самым пользователи, посещая эти страницы, повышают их трафик и выводят на первые места в рейтингах поисковика, что сулит определенные финансовые прибыли.
Пользователя отправят на «нужные» страницы
Червь заражает компьютер: изменяет стартовую страницу, отображая рекламу, и подменяет интернет-поисковик Google
Согласно пресс-релизу Panda Software, P2Load.A распространяется через пиринговые программы Shareaza и Imesh. Он копирует себя в папку общего доступа этих программ под видом файла с именем Knights of the Old Republic 2, выдавая себя за файл компьютерной игры из серии «Звездных войн». При запуске он отображает сообщение об ошибке, информирующее пользователя о том, что не найден определенный файл, и предлагающее скачать его. При этом червь заражает компьютер и вносит две основные модификации: изменяет стартовую страницу, отображая рекламу, и подменяет интернет-поисковик Google.
Когда пользователи пытаются открыть Google, они перенаправляются на страницу, выглядящую в точности как Google, но не относящуюся к этой компании – она размещена на сервере в Германии. Страница является точной копией Google и поддерживает все 17 языков поисковика.
Когда пользователь осуществляет поиск, отображаются результаты, идентичные Google, но с небольшими вариациями. К примеру, изменяются спонсорские ссылки – вместо них отображаются страницы, установленные создателем вредоносного кода, что приводит к увеличению трафика этих сайтов. «Создатель этого червя пользуется преимуществом, которое получает компания, находясь на первых позициях результатов поиска, - объясняет Луис Корронс, директор лаборатории PandaLabs. - Его целью является повысить посещаемость определенных веб-страниц для создания прибыли компаниям, желающим отображаться на первых местах в Google на зараженных компьютерах: то есть мотивация автора вредоносного кода является исключительно финансовой».
PandaLabs уже предупредила Google и провайдера, предоставляющего хостинг странице, о скорейшем принятии мер по нейтрализации атаки.
Автору ZOTOB насчитали еще 20 вирусов
Первое полугодие 2005 года отмечено небывалым ростом хакерских атак (фото GettyImages) |
Первое полугодие 2005 года отмечено небывалым ростом хакерских атак – в мире их было зафиксировано 237 миллионов, что в два раза превышает уровень хакерской активности во втором полугодии 2004 года. Последняя крупная атака была в середине августа, когда эпидемия вируса ZOTOB стала причиной перебоев в работе более чем 100 американских компаний, в том числе медиагигантов CNN и The New York Times.
Предполагаемого автора ZOTOB 18-летнего марокканского студента Фарида Эссебара сотрудники ФБР задержали уже через несколько дней. Сейчас он находится в тюрьме Рабата. Арест Эссебара в Марокко стал частью совместной операции, во время которой был задержан еще один подозреваемый, 21-летний Атилла Экиджи.
Правда, обвинений молодым людям до сих пор не предъявлено. Марокканские законы позволяют содержать подозреваемых в тюрьме в течение двух месяцев. И в случае необходимости этот срок может быть продлен на такое же время еще пять раз.
Сразу после ареста мировые агентства сообщили, что Фарид Эссебар помимо создания червя ZOTOB может быть причастен к появлению еще 20 вредоносных программ. Как утверждают в антивирусной компании Sophos, Эссебар использовал ник Diabl0, который был обнаружен в коде червя Zotob A. Такой же ник присутствует в коде еще 20 вредоносных программ, в том числе в ряде версий червя Mytob. Эпидемия этого червя началась в апреле этого года.
Заражая компьютер, Mytob внедряется в систему и рассылает свои копии по почте по найденным на компьютере адресам, а также пытается проникнуть в незащищенные компьютеры, выборочно сканируя участки Интернета. Он традиционно содержит механизм, позволяющий разославшим его хакерам получить полный контроль над зараженной машиной. Антивирусная «Лаборатория Касперского» в течение трех месяцев вносила Mytob в лидеры активности вредоносных программ.