Браузер IE перебрасывает на нежелательные сайты

Переадресация стартовой страницы браузеров IE (Internet Explorer) и Firefox: идентификация и устранение проблемы.

На сегодняшний момент существуют достаточно дерзкие способы заработка в Интернет. Один из способов -это просмотр рекламы пользователями, в том числе непристойной, путём внедрения вредоносного кода в программное обеспечение компьютеров.

Все, связанные с этим, ухищрения мошенников обусловлены потенциальной прибыльностью постоянно растущего рынка интернет — рекламы. Злоумышленники и хакеры постоянно ищут способы лёгкого заработка за счёт возможностей глобальной паутины и собственных талантов.

В данной статье рассмотрим вопрос восстановления нормальной работы браузера Интернет Эксплорер, встроенного в операционную систему Windows (IE) после атаки вредоносным ПО комплексом.

Статус

После серфинга по жёлтым интернет-страницам и скачивания неких «шаблонов для Photoshop», при запуске браузер IE (Интернет Эксплорер) начал открывать сайты с непристойной рекламой (в том числе сайты с порнографическим содержанием). Все интернет странички такого рода, загружаемые без участия пользователя, каждый раз менялись от вполне обычных до совершенно непристойных. При последующем закрытии, обозреватель каждый раз показывал назойливое сообщение: «Вы действительно хотите покинуть эту страницу?»

Скриншоты сайтов (примеры переадресации), с некоторыми изменениями, можно посмотреть чуть ниже для ознакомления с проблемой.

Судя по всему, компьютер подвергся атаке комплекса вредоносного ПО. Попытаемся разобраться в проблеме и найти способ её решения. Если сразу не обратить внимание на механизм запуска данного вредоносного ПО, после нескольких безуспешных попыток найти источник проблемы, возможно, захочется переустановить Windows, но делать этого не стоит — всё проще.

Хочется упомянуть, что доподлинно источник инфекции остался загадкой и конкретно с какого сайта был установлен данный зловред сказать сложно, так как компьютер на ремонт поступил уже после атаки. Можно лишь предположить, установив время создания файла и соотнеся с действиями пользователя в это время суток. Но это не главное, так как более важен механизм, нежели способ распространения.

Идентификация

Проблему определить просто по принудительной переадресации браузеров IE и Firefox на нежелательные, о чём написано выше. Проблема становится очевидной буквально сразу: браузер IE перебрасывает на непристойные (рекламные) сайты, сбросить настройки не получится.

Если отследить путь и расширение в свойствах файла-ярлыка, то можно увидеть, что ярлык Интернет Эксплорера теперь ссылается на пакетный файл DOS с последовательностью команд, которые будут выполняться при запуске. Это и есть параметры переадресации, обойти которые можно лишь удалив посредника в виде .bat файла и создав новый ярлык. Но проблема этим до конца не будет решена.



Существуют и другие неприятные последствия, не столь явные, тем не менее, ещё более опасные, если в компьютере установлен Punto Switcher. Анализ ситуации показал, что в папках Programs Files (x86) появляются скрытые файлы: diary.bat, diary.bat.exe, layouts.bat, layouts.bat.exe, ps.bat, punto.bat, punto.bat.exe, WelcomeToPunto.bat. Эти файлы являются клонами исполняющих файлов программы, способной вести дневник, записывая всё, что пишет пользователь на компьютере и сохраняя буфер обмена. Т.е. программа и без того является легальным кейлогером (keylogger), не хватает лишь возможности воровать пароли и переписку без ведома пользователя.

На картинке выше копии-клоны файлов с расширением .exe в связке с .bat файлами и параметрами для запуска. Они, судя по всему, и являются комплексом для кражи информации.
Если же вернутся к проблеме браузеров, то пакетные файлы DOS с расширением bat и параметрами для запуска служат для перенаправления на сайты для монетизации посредством рекламы. При этом, во время анализа файлов и системы Windows наличие вирусов не подтверждается ни одной из антивирусных программ. Т.е. нарушение в работе браузеров есть, но антивирус не находит вирус. Именно поэтому удалять данные зловреды придётся вручную. Файлы являются скрытыми и находятся в директориях корня диска C:\ и Program Files (x86) для 64 битных систем и Program Files для 32.

Сама проблема с браузерами решается довольно просто при условии, что анализ проведён правильно и определена причина нарушения. Повторю, что сброс настроек до первоначального состояния результата не даёт.

Устранение проблемы переадресации при запуске Интернет Эксплорера (Firefox) на нежелательные сайты

1. Для начала необходимо найти файлы, которые и вызывают данную проблему (файлы находятся в корне диска C:\);
2. Удалить их;
3. Зайти в места размещения программ Интернет Эксплорер (путь к папке C:\Program Files (x86)\Internet Explorer) и Firefox (C:\Program Files (x86)\Mozilla Firefox) и вывести ярлыки для этих программ на рабочий стол;
4. Для удаления угрозы кражи паролей и конфиденциальной информации предлагается удалить скрытые файлы в папке (C:\Program Files (x86)): diary.bat, diary.bat.exe, layouts.bat, layouts.bat.exe, ps.bat, punto.bat, punto.bat.exe, WelcomeToPunto.bat;
5. Провести сканирование новой антивирусной программой и почистить компьютер от мусора;
6. Крайний и самый надёжный вариант — переустановка операционной системы Windows с форматированием диска C:\.

Просматривать скрытые файлы удобнее всего с помощью программы Total Commander с настройкой конфигурации содержимого окон: Показывать скрытые/системные файлы. Скачать его финальную условно-бесплатную версию можно с официального сайта http://www.ghisler.com.