За последние полтора года почти миллион пользователей по всему миру столкнулись с опасным вирусом, который называется Redirector.Paco. Он подменяет поисковые запросы в браузере и перенаправляет людей на страницы с рекламой.
Вредоносная программа умеет работать с самыми распространенными поисковыми системами, среди которых Google, Yahoo! и Bing. Для работы своего вируса преступники создали собственную поисковую систему, в которой содержится полный перечень используемых ими поддельных сайтов. Как только пользователь начинает запрашивать один из них, зловред сразу же подменяет оригинальный сайт на подделку с большим содержанием обычной или вредоносной рекламы.
Более подробно о данной проблеме рассказали специалисты компании Bitdefender. Они выяснили, что для подмены используется программа Redirector.Paco. После детального изучения зловреда они установили, что ботнет был запущен почти 2 года назад. За все это время он успел поразить почти 1 млн персональных компьютеров. Больше всего пострадали жители США, Индии, Пакистана, Италии, Греции, Малайзии, Алжира и Бразилии.
Вредоносная программа очень часто попадает на ПК пользователя с установкой модифицированных пакетов популярных программ, среди них WinRAR, YouTube Downloader, Connectify и пр. После того как программа попала на компьютер, она начинает вносить изменения в настройки подключения к Интернету. В одном из файлов вредоноса содержатся специальные указания для использования прокси-сервера и его настройки. Программа четко следует заданным параметрам. Кроме этого Redirector.Paco содержит в себе еще и корневой сертификат, который специально был сгенерирован злоумышленниками. Как только вирус окажется на персональном компьютере, он приступает к генерированию поддельных сертификатов для популярных поисковых систем, с помощью которых в дальнейшем будет осуществляться подмена сайтов. Все изменения фиксируются в браузере жертвы и применяются при поиске абсолютно любой информации.
С помощью этого вируса злоумышленники могут осуществлять атаки вроде «человек по середине» и перехватывать поисковые запросы жертв. Подмена сайтов осуществляется по следующей схеме. Заданный в настройках вредоноса прокси-сервер осуществляет подключение к настоящей поисковой системе и подменяет результаты поиска, а затем зашифровывает страницу и показывает уже измененный вариант в браузере пользователя.
При этом стоит упомянуть, что данный вредонос бывает двух видов. Первый из них существенно замедляет работу браузера, поэтому людям приходится ждать, пока загрузится необходимая страница. В этом случае в браузере может показываться сообщения вроде «waiting for proxy tunnel» или «downloading proxy script».
Второй вид использует совершенно другую технологию для совершения атак, поэтому вредонос практически не влияет на скорость загрузки страниц.
Целью таких атак является получение прибыли за счет увеличения количества посетителей сайтов, принимающих участие в программе AdSense for Search. За каждый клик или открытие рекламного сайта владельцы получают прибыль.