Ни для кого не секрет, что существует огромное количество вредоносных программ, которые специализируются на показе своей рекламы в браузере пользователя. Google Chrome, как и другие браузеры, сталкивается с этой угрозой регулярно. Но обычно за показ рекламы поверх сайта отвечает вредоносное расширение. К этому все привыкли и проверяют chrome:extensions в первую очередь. Однако появился новый зловред Express Find, который научился встраиваться в сам браузер.
Рекламный модуль Express Find, разработанный компанией SuperWeb LLC, распространяется в сети под видом утилиты, которая якобы позволяет сэкономить вам время. Что разработчики имеют под этим ввиду? Похоже, что они это про свою рекламу. Хотя описание тут все равно играет малую роль - пользователям Express Find достается, как правило, в виде скрытого бонуса при установке других бесплатных, но более полезных продуктов.
Express Find старается использовать все доступные способы закрепиться в системе у пользователя. Прописывает себя в автозагрузках. Добавляет в браузер свое расширение. Но это еще не все. Если удалить программу через стандартные системные настройки, почистить реестр (привет, regedit в "Выполнить") и автозагрузки, зайти на chrome:extensions и удалить оттуда все лишнее, проверить ярлыки, т.е. выполнить "джентельменский набор борца с рекламой", это все равно не поможет. Можете создать хоть новый профиль - реклама все равно у вас появится. Как?
Очень простой и наглый способ. В папке с Google Chrome есть файл с ресурсами resources.pak. Express Find заменяет его на свой, который отличается от оригинального тем, что в нем прописан дополнительный скрипт. Этот скрипт загружает на все открываемые в браузере страницы рекламу через официальный API chrome.tabs.executeScript. Причем реклама грузится по HTTPS и даже имеет вполне приличную подпись сертификатом.
В этой ситуации антивирусы пока еще ничего не находят. Помогает в этой ситуации переустановка браузера. Причем перед переустановкой нужно обязательно пройтись по "джентельменскому набору". Иначе рискуем, что утилита, которая сидит в системе, все восстановит обратно.
Проблема вредоносных разработок, которые встраивают в браузеры рекламу, известна уже не первый год. Об этой эпидемии и методах ее решения уже публично рассказывали разработчики как браузера Google Chrome, так и Яндекс.Браузера (например, до начала контроля расширений жалобы на рекламу составляли до 30% от всех обращений в поддержку).