На конференции Virus Bulletin, проходившей в конце сентября в Женеве и посвященной вопросам безопасности, аналитиком Sophos Дмитрием Самосейко был представлен доклад, в котором говорится, что для продажи контрафактной продукции используются сотни партнерских сетей, перенаправляющих своих посетителей на «плохие» сайты.
Партнерские сети существуют давно, и многие из них действуют на законных основаниях. Однако, как утверждается в докладе, большинство наиболее крупных, чья деятельность вызывает сомнения, находится именно в России. Для привлечения новых участников «партнерки» обычно используются малоприметные форумы, для регистрации на которых требуется приглашение. После регистрации на форуме и проверки на «благонадежность» новому партнеру выдается список сайтов для рекламирования.
Одним из способов заполучить посетителей является заражение компьютера пользователя вредоносными программами через спам или другие каналы. При этом вирус изменяет настройки сервиса доменных имен DNS, так что пользователь вместо, скажем, Google попадает на фальшивый поисковик, который «подмешивает» к правильным результатам поиска ссылки на сайты, продающие, например, лжеантивирусы.
Еще один способ — «черная поисковая оптимизация» (black hat SEO), использующая набор запрещенных приемов с целью повышения рейтинга Web-сайта в поисковых системах, например встраивание в Web-сайт наиболее популярных ключевых слов, которые можно получить, пользуясь сервисом Google Trends. По мнению Самосейко, для продавца важно лишь выбрать подходящую «партнерку», которая обеспечит ему прибыль за счет превышения дохода от продаж над стоимостью трафика.
Такая схема достаточно прибыльна, и при этом может не внушать пользователям никаких опасений. Специалистам Sophos удалось заглянуть «под капот» одной из таких популярных «партнерок» под названием RefreshStats. Они вербовали партнеров для создания Web-сайтов, которые предлагали бы пользователям скачивать некий кодек — специальное программное обеспечение, необходимое для проигрывания видео. Стоит ли говорить, что кодек был вредоносным и приводил к инфицированию компьютера.
Sophos стало известно, сколько зарабатывают партнеры RefreshStats. Например, один из участников этой сети только за август 2008 года заработал 6456 долл. Другой партнер, под названием Topsale, предлагал комиссионные в 25 долл. за каждый проданный лжеантивирус.
Подводя итоги, Самосейко отметил, что есть обнадеживающие признаки того, что органы правопорядка и компании, занимающиеся Web-безопасностью, смогут поставить заслон на пути мошенников. Что ж, осталось подождать, когда это произойдет. Согласно недавнему отчету Panda Security, компании — поставщика решений Web-безопасности, фальшивыми антивирусными программами каждый месяц в мире инфицируется 35 млн персональных компьютеров.
По словам Льюиса Корронса, директора по технологиям PandaLabs, его компании удалось собрать потрясающую коллекцию из 200 тыс. экземпляров различных лжеантивирусов, 80% которых являются копиями или модификациями десяти основных видов. Корронс полагает, что пока рано говорить об уменьшении риска заражения персональных компьютеров.