В службу поддержки Яндекса поступила волна жалоб от пользователей на поддельные стартовые страницы у разных браузеров.
Наше исследование показало, что это связано с внедрением на компьютер жертвы файлов с расширением .url, так называемых Internet Shortcut'ов. Как правило, различные сомнительные программы-тулбары сохраняют такой ярлык в директорию браузера и прописывают в автозагрузку.
Важно, что Windows не показывает по умолчанию расширение у данных файлов, поэтому, если зайти в директорию браузера, будет видно просто 2 файла c именем "iexplore". Вроде ничего подозрительного. Однако в этом случае при старте компьютера будет открываться браузер со страницей, которая прописана в этом "ярлыке". Если эта страница - фишинг, пользователь начнет думать, что это "Яндекс" показывает ему странную рекламу, либо просто какой-то сайт заменил ему стартовую страницу.
Если вы или ваши знакомые столкнулись с подобной проблемой, попробуйте найти на компьютере и удалить файлы с расширением . url (скорее всего, они будут находиться в директориях, где установлен браузер). Это может помочь излечить систему от заражения.
Также излечиться можно с помощью программы avz, выполнив в ней скрипт (через меню "Файл"- "Выполнить скрипт"):
Procedure DeleteUrlFiles(ADirName : string; AScanSubDir : boolean);
var
FS : TFileSearch;
begin
ADirName := NormalDir(ADirName);
FS := TFileSearch.Create(nil);
FS.FindFirst(ADirName + '*.*');
while FS.Found do begin
SetStatusBarText(ADirName + FS.FileName);
if FS.IsDir then begin
if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then
DeleteUrlFiles(ADirName + FS.FileName, AScanSubDir)
end else
if LowerCase(FS.FileName) = 'iexplore.url' then
DeleteFile(ADirName + FS.FileName);
if LowerCase(FS.FileName) = 'chrome.url' then
DeleteFile(ADirName + FS.FileName);
if LowerCase(FS.FileName) = 'mozilla.url' then
DeleteFile(ADirName + FS.FileName);
FS.FindNext;
end;
FS.Free;
end;
begin
DeleteUrlFiles('c:\', true); //вместо 'c:\' можно указать директорию, где установлен браузер, например, 'C:\Program Files\Internet Explorer\'
end.