В последний год пользователи сталкиваются с крайне агрессивной многокомпонентной системой, которую сложно вычистить своими силами, несмотря на наличие формальных деинсталляторов, сообщает «Лаборатория Касперского». Речь идет о системе BitGuard, которая используется для подмены домашней страницы и поисковых результатов.
Система BitGuard является вредоносной, поскольку она модифицирует настройки обозревателей без ведома пользователя, обладает функционалом троянцев семейств Inject (внедрение своего кода в сторонние процессы) и StartPage (подмена стартовых страниц браузеров и страницы поиска), а часть функционала соответствует поведению Trojan-Downloader (скачивание вредоносных файлов из Сети).
Весь этот набор вредоносных функций используется для наживы — владельцы BitGuard являются участниками партнерской сети, продвигающей веб-сайты нелегитимными методами (ссылки на веб-страницы поднимаются в топы поисковой выдачи).
Распространяется BitGuard вместе с поисковыми тулбарами (MixiDJ, Delta Search, Iminent, Rubar и т.д.), владельцы которых зарабатывают на переходах пользователей по ссылкам на странице нерелевантной поисковой выдачи.
Эксперты «Лаборатории Касперского» считают, что владельцы BitGuard и владельцы поисковых систем и тулбаров — это разные лица/организации. Некто за определенную плату поставляет SDK или движок, который поддерживает настройки обозревателей на машине пользователя в состоянии, выгодном владельцам поисковых систем.
Начиная с августа 2013 года, файлы BitGuard были заблокированы на компьютерах 3,8 миллионов пользователей.
Учитывая, что владелец рекламируемого сайта платит в среднем от 2 до 10 центов за переход на целевой сайт, можно примерно оценить доход участников партнерской сети.
Подробности проведенного «Лабораторией Касперского» анализа BitGuard приводятся здесь.