Компьютерные вирусы, которые накручивают клики или просмотры

Привет, коллеги по цеху и просто те, кто интересуется адской кухней современного интернета. Если вы думаете, что эпоха вирусов-вымогателей или банальных «троянов» прошла, и теперь все только про фишинг да утечки данных, то спешу вас разочаровать. Или, скорее, предупредить. В 2025 году мы видим новый виток старой болезни – компьютерные вирусы, которые тихо, как мышь, накручивают клики и просмотры. И поверьте, это не просто абстрактная угроза из отчетов Group-IB, это реальный головняк, с которым я сталкиваюсь чуть ли не еженедельно.

Что это за зверь и с чем его едят: невидимый паразит

Представьте: вы сидите, работаете, а ваш компьютер в это время, словно раб на галерах, в фоновом режиме накручивает показы рекламы, кликает по баннерам или имитирует просмотры видео на каком-нибудь мутном стриминговом сервисе. При этом вы можете ничего не замечать. Загрузка ЦПУ минимальна, сеть вроде не перегружена. Это и есть так называемые «кликеры» или «просмотрщики». Их задача – генерировать искусственный трафик для мошеннических рекламных схем или для создания видимости популярности контента. Цель проста: деньги. Рекламодатель платит за показы/клики, мошенник их генерирует с помощью вашего компьютера, а потом выводит. Ваш ПК становится частью огромной ботнет-сети, и вы об этом даже не подозреваете.

В наших реалиях, особенно в Рунете, эта зараза процветает, как сорняк после дождя. Почему? Да потому что порог входа для мошенников низкий, а спрос на «качественный» трафик, пусть и фейковый, всегда есть. Это как подпольные казино: вроде и незаконно, но крутится.

Как они проникают: не только «порно-баннер» и «кряк для фотошопа»

Забудьте про примитивные схемы из нулевых. Современные кликеры – это не просто exe-файлы, которые вам прислали по почте. В 2025 году векторы заражения стали куда изощреннее:

• Софт из «серых» источников: Казалось бы, очевидно, но все равно. Любой «бесплатный» софт, который вы скачиваете не с официального сайта – кряки, кейгены, репаки для игр или программ. В моем опыте, каждая вторая машина, принесенная на чистку с жалобами на «тормоза», имела в анамнезе свежеустановленный «Photoshop 2025 Ultimate Edition RePack by VasyaPupkin». И в этом репаке, помимо всего прочего, сидел тихий, но настойчивый кликер.
• Расширения для браузеров: Вот это бич последних лет. Магазины расширений, даже официальные, не всегда успевают отлавливать вредоносные плагины. Пользователь ставит «удобный VPN» или «расширение для скачивания видео», а оно в фоновом режиме открывает невидимые вкладки, накручивая просмотры. Один раз столкнулся с расширением для Chrome, которое маскировалось под «AdBlocker Pro», но на деле отключало блокировку рекламы для определенных доменов и генерировало свои клики. Это было тонко, потому что пользователь думал, что реклама просто «пробивается» через блокировщик.
• Фишинг и социальная инженерия: Классика, но с новыми обертками. Ссылки в мессенджерах на «супер-новости», «выигрыши в лотерею», «скачать шаблон для диплома». Открыл – и вот уже у тебя в системе сидит нечто, что подгружает рекламные скрипты.
• Дыры в IoT и сетевом оборудовании: Это уже для продвинутых. Я лично видел, как через уязвимый роутер (в моем опыте, эта модель Zyxel Keenetic с прошивкой до 3.8.x была особенно уязвима к DNS-hijacking, что часто использовалось для перенаправления трафика на фейковые рекламные площадки) или даже через умную лампочку, подключенную к общей сети, можно было получить доступ к локальным устройствам и инжектировать вредоносный код. Это не шутки, когда ваш холодильник становится частью ботнета.

Внутренняя кухня: как это работает на вашей машине

После заражения вирус ведет себя максимально скрытно. Это не тот «баннер на весь экран», что был раньше. Он стремится быть незаметным:

• Маскировка под системные процессы: Имя процесса может быть indistinguishable от системного: `svchost.exe`, `explorer.exe`, `dwm.exe`. Или, что хитрее, нечто вроде `System32.exe` (с опечаткой) или `MsUpdater.exe`. Один раз я полдня вычислял процесс `conhost.exe`, который оказался не консольным хостом, а маскировкой кликера, засевшего в папке `C:ProgramData`.
• Использование легитимных ресурсов: Вместо того чтобы тащить свой браузер, вирус может использовать встроенные компоненты Windows, например, WebView2 или даже Internet Explorer (да, он еще жив в некоторых компонентах!), чтобы открывать невидимые окна и генерировать трафик. Это сложнее отследить, потому что активность идет от «доверенных» процессов.
• Планировщик задач: Это любимый инструмент. Вирус прописывается в планировщик задач Windows, чтобы запускаться при каждой загрузке системы или через определенные промежутки времени. Имя задачи может быть «Windows Update Service», «System Health Check» или что-то подобное. Я как-то столкнулся с задачей, которая запускалась каждый час и называлась «Intel(R) Graphics Driver Updater». Ничего не подозревающий пользователь видел знакомое название.
• Сетевая активность: Обычно это HTTP/HTTPS запросы к рекламным серверам или к управляющим центрам (C2-серверам). Трафик может быть зашифрован, чтобы антивирусы не могли «заглянуть» внутрь. Иногда они используют Tor или другие анонимные сети для связи с C2, что усложняет блокировку.

Мой опыт и «подводные камни»: истории из окопов

За 20 лет в IT я повидал всякого. Но вот пара кейсов, которые ярко показывают специфику работы с кликерами:

Кейс 1: «Тихая смерть» домашнего роутера. Ко мне обратился знакомый: интернет стал жутко тормозить, онлайн-игры лагали, а видео на YouTube грузилось по минуте. Проверили ПК – чисто, антивирус молчит. Залезли в роутер. И тут я нашел жемчужину: его домашний роутер (была это модель TP-Link Archer C6, если мне память не изменяет, со старой прошивкой) был заражен. Фактически, кликер сидел не на компьютере, а на самом роутере, перенаправляя DNS-запросы и подменяя рекламные блоки на сайтах. Это было нечто новенькое для домашнего сегмента. Пришлось перепрошивать роутер и менять все пароли. Лайфхак: если у вас тормозит интернет, а компьютер чист, не забудьте проверить роутер. Порой зараза сидит именно там.

Кейс 2: «Корпоративная дойная корова». Однажды на небольшом предприятии, где я оказываю поддержку, начали приходить счета за интернет с аномально высоким трафиком. Вроде бы ничего не качают, сотрудники работают. После недели копания в логах и сетевых дампов, выяснилось, что один из компьютеров бухгалтерии (конечно же, с Windows 10 LTSC, потому что «стабильнее») был заражен. Вирус маскировался под системный процесс `RuntimeBroker.exe` и днем, когда трафик был активен, практически не проявлял себя. Но ночью, когда все уходили, он активизировался и начинал генерировать гигабайты трафика, накручивая просмотры на каком-то китайском стриминговом сервисе. Он использовал технику «живого» браузера (через WebView2), чтобы имитировать реального пользователя. Мы вычисляли его по аномальным всплескам трафика на малоизвестные IP-адреса в нерабочее время. Это было как иголка в стоге сена, учитывая, что антивирус на нем тоже молчал. Пришлось переустанавливать систему и настраивать фаервол с белыми списками.

Лайфхаки и предостережения: как не стать дойной коровой

Так что же делать, чтобы не попасться на удочку?

• Думайте, что качаете: Золотое правило. Если вам что-то предлагают бесплатно, но это обычно стоит денег, есть подвох. Особенно это касается всяких «активаторов» и «кряков». Они – рассадник. И да, никаких «скачать бесплатно без смс и регистрации».
• Проверяйте расширения браузера: Регулярно заходите в настройки браузера и просматривайте установленные расширения. Удаляйте все, что вам не нужно или кажется подозрительным. Если видите расширение с кучей разрешений (доступ к истории, вкладкам, данным на всех сайтах) – задумайтесь.
• Мониторьте сетевую активность: Если у вас есть подозрения, используйте утилиты вроде Process Monitor (от Sysinternals) или Wireshark. Посмотрите, какие процессы активно используют сеть, куда они стучатся. Если видите активность на незнакомые IP-адреса или на порты, которые обычно не используются (например, много исходящих запросов на порты 8080, 8000, 443, но не к известным сервисам), это повод задуматься.
• Планировщик задач – ваш друг и враг: Заходите в «Планировщик задач» (Task Scheduler) в Windows. Просмотрите список задач. Ищите подозрительные, особенно те, что запускаются «при входе в систему» или «при простое» с непонятными именами или путями к файлам.
• Обновляйте всё: Операционную систему, браузеры, антивирус, прошивки роутеров. Дыры в безопасности – это открытые двери для всякой нечисти.
• DNS-серверы: Проверяйте, какие DNS-серверы использует ваш компьютер и роутер. Если они отличаются от тех, что предоставляет ваш провайдер, или от публичных (Google DNS, Cloudflare DNS), это может быть признаком компрометации. Злоумышленники часто меняют DNS, чтобы перенаправлять вас на свои рекламные площадки.
• Поведенческий анализ: Современные антивирусы (вроде Kaspersky, Dr.Web) неплохо научились детектить кликеры по их поведению, а не только по сигнатурам. Убедитесь, что у вас включены все модули поведенческого анализа.

В общем, бдительность – наше всё. В мире, где каждый клик – это деньги, ваш компьютер может стать невольным участником чужой схемы обогащения. Берегите себя и свою цифровую гигиену!

***

Отказ от ответственности: Данная статья основана на личном опыте и наблюдениях автора в сфере кибербезопасности. Информация предоставлена в ознакомительных целях и не является призывом к каким-либо действиям. Автор не несет ответственности за любые последствия, возникшие в результате использования или неправильного толкования изложенных рекомендаций.