Рекламний спам в браузерах і як з ним боротися

Відео: Рекламний СПАМ. Як з ним боротися?

Реклама на інтернет-сайтах в наш час стала цілком звичайним явищем, до якого всі настільки звикли, що вже майже і не звертаємо на неї уваги. За винятком, мабуть, тих випадків, коли відвідуваний ресурс просто перевантажений рекламною інформацією і викликає явне роздратування. Однак, життя не стоїть на місці, і вирусописатели проявили свої таланти знову області - розробили технології забезпечують бідного комп`ютерного користувача ще і масою додаткових рекламних блоків, які не мають ніякого відношення до переглядати вміст сторінок легальних сайтів, які відображаються з певною періодичністю і нерідко, безвідносно до дій користувача. Хочеш - не хочеш, а рекламу будеш дивитися, а іноді ще й слухати. Це явище в народі отримало назву рекламного спаму, що, в общем-то, цілком відповідає його суті - незатребувана, нелегальна реклама, яка не має ніякого відношення до легальної, що відображається на відвідуваних сторінках засобами рекламних мереж. І, якщо з легальної рекламою можна, при бажанні, боротися за допомогою спеціальних програмних засобів (ADBlock, ADGuard і т.п.), то з нелегальною рекламою інша справа - розробники шкідливого ПО досить вміло використовують прийоми, що дозволяють обходити блокування рекламних показів. Останнім часом почастішали випадки появи рекламного спаму в браузерах, джерела якого не виявляються не тільки програмами блокування реклами, але і антивірусним програмним забезпеченням, в тому числі і популярними антивірусними сканерами (Dr. Web CureIT, MalwareByte Antimalware та ін.). Основна причина в тому, що як такого, вірусного програмного коду в подібних випадках на зараженому комп`ютері немає, і своєї мети зловмисники домагаються зміною налаштувань додатків і програмного середовища, в якій вони виконуються. Наприклад, у властивостях ярлика, за допомогою якого запускається браузер, додається параметр командного рядка, який представляє собою URL шкідливого ресурсу (посилання). Будь запуск браузера буде викликати перехід по посиланню, зазначеної в URL. Але з точки зору антивірусного ПО, таке вміст ярлика не є ознакою зараження. Застосовуються й більш витончені методи, засновані на підміні налаштувань браузерів без впровадження в них шкідливих модулів, які можуть виявлятися антивірусними програмами. І виходить так, що вірусу в системі начебто немає, а вірусне зараження, що виявляється як настирлива реклама, яка відображається при відвідуванні будь-яких сайтів, є. Розглянемо найбільш типові випадки такого зараження.

Підміна ярликів, за допомогою яких запускається браузер.

Практично будь-який браузер виконує перехід по URL, який передається йому в якості параметра командного рядка. Якщо виконати команду iexplore.exe, то запуститься програма "Internet Explorer" (браузер IE). Якщо ж виконати команду:

iexplore.exe https://yandex.ru

то запуститься браузер IE, і в ньому відкриється сторінка Яндекса. Замість головної сторінки Яндекса, природно може бути відкрита будь-яка інша, в тому числі і містить шкідливий або просто небажаний код, як наприклад, код відображає сторінку онлайн-казино або що пропонує отримати грошовий кредит. При чому, браузер може бути будь-яким, така ж картина буде при роботі з Firefox або Chrome - користувач примусово перейде по посиланню, переданої в якості параметра командного рядка. Так виглядають властивості ярлика з передачею браузеру Mozilla Firefox URL сайту search-iskat.ru:

Зміна вірусом параметрів ярлика браузера

Зміна вірусом параметрів ярлика браузера

У рядку об`єкт міститься шлях і ім`я файлу, що виконується "C: Program Files (x86) Mozilla Firefox firefox.exe" і через пробіл, який передається йому параметр - https://search-iskat.ru. Стандартний ярлик ніяких параметрів не має. Розглянутий тут URL https://search-iskat.ru на момент написання статті був чинним і забезпечував перехід за адресою https://traflfab.ru/rotator, який, в свою чергу, забезпечував відображення рекламних банерів, кожен раз нових.

Бувають і більш складні випадки, коли в головному меню виконується не тільки підміна параметрів в ярликах, а й самих ярликів. Нижче представлений фрагмент меню запуску програм, в якому виконана заміна ярликів Internet Explorer:

Підміна ярликів в головному меню

Як бачимо, в головному меню є додаток з іконкою Internet Explorer, але трохи з іншою назвою - "Internct Exp1ercr". При схожості написання символів і деякої неуважності, замість стандартного оглядача інтернету, користувач цілком може запускати то додаток, яке прописано у властивостях ярлика, причому, тривалий час, і навіть не підозрюючи про підміну. На практиці, в цьому випадку, запускався все той же Internet Explorer, але з передачею йому шкідливого URL як параметр.

Рядком нижче, розташований ярлик з ім`ям "Internet Explorer", але не з іконкою даного браузера. У властивостях ярлика, як виявилося, теж не все було гаразд:

Зміна властивостей ярлика IE в головному меню

Зміна властивостей ярлика IE в головному меню

Як бачимо, тип об`єкта - "Пакетний файл Windows", розташований в домашній папці оглядача, але з ім`ям iexplore.bat замість iexplore.exe. Як виявилося, файл мав атрибут "прихований" і мав таке вміст, що забезпечує все той же запуск браузера з параметром командного рядка:

start "" / I / B / D "c: PROGRA ~ 2 INTERN ~ 1" "c: PROGRA ~ 2 INTERN ~ 1 iexplore.exe" https://search-iskat.ru

В даному файлі, команда start забезпечує запуск програми IE з параметром у вигляді шкідливого URL, без створення нового вікна, з відключенням обробки поєднання клавіш CTRL + C (параметр / B), З ініціалізацією нового середовища ( / I і зазначеним поточним каталогом (/ D шлях.Вікно "Згорнуте в значок", у властивостях ярлика, повинно було знизити ймовірність виявлення запуску оглядача IE з використанням такого командного файлу.

Як бачимо, жоден з даних прийомів, що забезпечують перенаправлення користувача на шкідливий (або, принаймні - незапрошуваних) сайт, не пов`язаний з впровадженням будь-яких сторонніх програм в систему, і не може бути виявлений при стандартній антивірусної перевірки. Хоча в даний час антивірусні продукти і стали впроваджувати додаткові програмні засоби контролю ярликів головного меню і окремих параметрів браузерів, але вважати їх надійним захистом поки не можна. Як власне і сталося в розглянутому прикладі, де був присутній цілком пристойний антивірус і навіть був менеджер браузерів. Після видалення зайвих параметрів і приведення ярликів в норму, ситуація трохи покращилася, реклама в IE припинилася, але браузер Mozilla Firefox продовжував транслювати рекламні банери, хоча запускався без параметрів, і не дивлячись на те, що запускався перевірений файл Firefox.exe . Цілком природно напрошується висновок про те, що власні настройки браузера були змінені таким чином, щоб забезпечувалося відкриття URL з відображенням реклами, незалежно від переглядаються користувачем сторінок.

Підміна налаштувань браузерів шкідливими програмами.

Прийом зі зміною налаштувань браузера, так само, як і прийом зі зміною властивостей ярликів, не пов`язаний з впровадженням будь-яких програм, і тому далеко не завжди виявляється антивірусним ПЗ. Налаштування браузерів, доступні через стандартні панелі інструментів - це далеко не всі налаштування. Існують додаткові параметри, доступ до яких можливий в самому браузері через певні URL адресного рядка:

аbout: config - розширені налаштування Mozilla Firefox- Весь список розширених налаштувань і відомостей про браузер можна отримати, ввівши аbout: about

opera: config - розширені настройки Opera- opera: about - відомості про браузер, включаючи шляхи та тек з встановленою програмою, розташування кеш, і профілю користувача, де зберігаються настройки браузера.

chrome: // flags, а також chrome: // extensions /, chrome: ... - досить велика кількість URL, весь список яких можна отримати, ввівши chrome: about

Налаштування Internet Explorer зберігаються в розділі реєстру HKEY_CURRENT_USER Software Microsoft Internet Explorer, велика частина в підрозділі Main

Налаштування Opera, Mozilla Firefox і Chrome зберігаються в файлах, що знаходяться в каталогах додатків і в каталозі профілю користувача. В залежності від програми та його версії установки можуть бути збережені в каталогах, імена яких набувають значень змінних оточення APPDATA і LOCALAPPDATA. Якщо в адресному рядку Провідника ввести% APPDATA%, то відкриється папка, якій відповідає значення змінної APPDATA. Для Windows 7,8 при стандартній установці це відповідає каталогу:

C: Users ім`я користувача AppData Roaming

У цій папці є підпапка Mozilla, і в ній - Firefox. В папці Firefox є первинний конфігураційний файл браузера Mozilla Firefox - profiles.ini, приблизно такого змісту:

[General] StartWithLastProfile = 1 [Profile0] Name = defaultIsRelative = 1Path = Profiles / temavya7.defaultDefault = 1

рядок Path = Profiles / temavya7.default описує шлях до каталогу з настройками браузера для поточного користувача (шлях до профілю). Ім`я каталогу нижнього рівня (temavya7.default) формується випадковим чином, і буде відрізнятися на вашому комп`ютері. Один користувач може мати кілька профілів, імена яких будуть відрізнятися. Один з профілів буде основним і використовуватися за замовчуванням.

В кінцевому підсумку, настройки браузера Mozilla Firefox будуть знаходитися в папці % APPDATA% Mozilla Firefox Profiles ім`я каталогу нижнього рівня. Основний файл настройок в поточних версіях Mozilla Firefox має ім`я prefs.js і є простим текстовим файлом.

Для браузера Opera, каталог з настройками - % APPDATA% Opera Opera або% APPDATA% Opera Software Opera Stable в залежності від версії Opera.

Для браузера Google Chrome, і багатьох браузерів на основі Google Chrome - в папці % LOCALAPPDATA% Google Chrome User Data Default . Файли конфігурації, як правило - текстові, і їх можна відкривати будь-яким текстовим редактором, наприклад, блокнотом:

notepad% LOCALAPPDATA% Google Chrome User Data Default Preferences - відкрити файл конфігурації Google Chrome.

Імена та шляхи конфігураційних файлів браузерів не задаються тими чи стандартами, і можуть бути змінені розробниками на свій розсуд. Для будь-якого браузера, місце зберігання налаштувань можна знайти з використанням програми моніторингу активності процесів, як наприклад, - Process Monitor з пакету Windows Sysinternals. На вказаній сторінці є приклад, як визначити де зберігаються настройки браузера Mozilla Firefox.

Якщо вам відоме ім`я файлу конфігурації браузера, то повний шлях можна дізнатися, виконавши в командному рядку команду, наприклад для файлу з ім`ям prefs.js:

Dir / b / s / a-d "% Appdata% prefs.js

Знайти всі файли з ім`ям browser і будь-яким розширенням, починаючи від каталогу, заданого значенням змінної APPDATA:

Dir / b / s / a-d "% Appdata% browser. *

Знайти всі файли з ім`ям, що починається рядком pref, починаючи від каталогу, визначеного значенням змінної LocalAppdata:

Dir / b / s / a-d "% LocalAppdata% pref *. *

При зміні налаштувань браузерів шкідливими програмами, зазвичай використовується підміна домашньої сторінки, змісту "Вибраного", сторінки пошуку, параметрів розширень, і, іноді навіть виконується підключення сторонніх програмних модулів або браузер налаштовується на роботу через шкідливий проксі-сервер. У більшості випадків, браузер з рекламним спамом через підміну налаштувань можна вилікувати простий перевстановлення, тому, що файли з параметрами налаштувань, як правило, сайту не видаляються при видаленні самого браузера і, якщо їх не видалити вручну, то знову встановлена програма буде використовувати ті ж, заражені вірусом, настройки. У випадку з Internet Explorer, мова йде не про конфігураційних файлах, а про настройках, що запам`ятовуються в реєстрі. Тому, якщо ви хочете позбутися від рекламного спаму перевстановлення браузера, потрібно обов`язково перевірити, чи виведені його конфігураційні налаштування. Існує, правда більш простий шлях - НЕ встановлювати заново браузер з чищенням конфігурації, а повністю "обнулити" його настройку на стан першого запуску після установки. Природно, всі ваші збережені особисті настройки, візуальні закладки тощо теж будуть скинуті. Досягається це досить просто - видаленням або перейменуванням файлів налаштувань. Браузер на цей момент обов`язково потрібно закрити. При подальшому старті, не знайшовши записи конфігурації, програма створить їх заново, з параметрами за замовчуванням, так само, як при першому запуску після її установки. У випадку з Internet Explorer, можна просто перейменувати розділ реєстру

HKEY_CURRENT_USER Software Microsoft Internet Explorer Main наприклад, в ... Main1, і запустити IE, після чого буде створено новий Main з настройками за замовчуванням. Якщо щось піде не так, завжди можна видалити новий Main і перейменувати Main1 в Main - старі настройки будуть відновлені. Ще раз нагадаю - все маніпуляції з налаштуваннями потрібно виконувати при закритому браузері, інакше ваші зміни будуть перезаписані при його закритті.

У випадку з браузером Mozilla Firefox, в папці з профілем % APPDATA% Mozilla Firefox Profiles ім`я каталогу нижнього рівня знаходиться файл з ім`ям prefs.js. Саме в ньому зберігаються настройки браузера, і для їх скидання можна наприклад, змінити його розширення - prefs.js1. Після запуску Firefox створить новий файл з початковими настройками

На практиці, мені доводилося стикатися з випадками, коли шкідливе ПО змінювало не тільки вміст основного файлу prefs.js, але і файлу додаткових налаштувань user.js і запам`ятали сесій sessionstore.js, які теж можна перейменувати або видалити для отримання "чистої" початкової конфігурації браузера.

У браузері Mozilla Firefox останніх версій передбачена можливість скидання налаштувань з використанням меню "Довідка - Інформація для вирішення проблем" - кнопка "Очистити Firefox". Можна також скористатися набором в адресному рядку config: support. Дана сторінка містить технічну інформацію, яка може бути корисна при вирішенні проблем з браузером - інформацію про розширення, відомості про падіннях, перелік важливі зміни налаштувань і т.п. Крім того, на сторінці є кнопка "Запустити знову з відключеними доповненнями", що дозволяє запустити браузер в безпечному режимі.

В якості короткого алгоритму позбавлення від рекламного спаму, коли його джерело не визначається антивірусним ПЗ, можна використовувати наступну послідовність дій:

- Закрити всі браузери-

- Перевірити, і при необхідності, виправити параметри ярликів в меню запуску програм-

- Перевірити, виправити або скинути настройки самих браузеров-

- Якщо, після всіх перерахованих вище заходів, ознаки зараження як і раніше присутні, то можна спробувати відключити всі зовнішні розширення браузерів, і, якщо і це не допоможе - шукати шкідливу програму, яка не виявляється антивірусами з використанням програм моніторингу, спеціалізованих антивірусних утиліт, як AVZ , HijackThis, RootkitRevealer тощо.- якщо відомий період часу, коли відбулося зараження, може допомогти утиліта SearchMyFiles від Nirsoft, що дозволяє виконувати пошук файлів за часом їх створення або модифікації. Приклади використання працюють у цій статті.

Якщо ви бажаєте поділитися посиланням на цю сторінку в своїй соціальній мережі, користуйтеся кнопкою "Поділитися"

Поділися в соціальних мережах:

Схожі