Сколько страниц содержат Iframe трояны – результаты исследования
February 14th 2008 @ 10:42 am Google,Новости,Статьи

Ни для кого уже не секрет, что одно из направлений заработка по черному это установка через IFRAME трояна пользователю. Подобные “предприниматели” скупают трафик, запускают партнерские программы с одной целью – заразить как можно большее число пользователей трояном и в последствии использовать его в корыстных целях (создание ботнетов для проведения Ddos атак, прокси для спама и так далее). Я не буду обсуждать или осуждать данный вид деятельности, мой пост не о том.

phentermine online pharmacy

Речь пойдет о проверенном компанией Google исследовании на тему, сколько же страниц содержащих вредоносный код содержится в выдаче поисковой системы Google. Итоги исследования были представлены на прошлой неделе в виде PDF “All Your iFRAME Are Point to Us“, отчет на английском , можете ознакомится, я же расскажу более кратко о результатах.

buy provigil online no prescription

Как и что проверяли.

buy xanax online

В ходе десятимесячной проверки спецы из Google просканировали 66 миллионов страниц по различных поисковых запросам, из них 7 миллионов были взяты из каталога DMOZ. Для проверки разработана сеть, так называемых web-honeypot которые представляют из себя n-е количество Windows виртуальных машин с настройками типичного пользователя. На каждом таком honeypot-е запущен непропатченный Internet Explorer. Для проверки очередного URL-а система подгружает чистую копию Windows и автоматически грузит в броузере “пациента”. Определение заражения происходит на основе эвристического анализа + антивирусных программ. Дополнительно к этому каждая виртуальная машина, после посещения очередного адреса выжидает 2 минуты и мониторит систему на наличие ненормальных процессов и/или изменений. В нагрузку ко всему каждое HTTP соединение сканится 3мя различными антивирусными программами.

buy diazepam without prescription

Как мы видим, анализ идет весьма плотный и глубокий, о чем свидетельствует и время потраченное на него (10 месяцев) – это при вычислительных мощностях Google.

buy soma no prescription

Типичная схемы распространения вредоносного ПО (троянов)

valium online no prescription

В ходе исследования выявлена типичная схема распространения вредоносного ПО. Пользователь посещает сайт содержащий iframe (1), внутри ифремейма его броузер скачивает так называемый initial exploit. Скрипт эксплойта (как правило javascript) нацелен на определенную уязвимость в броузере и/или в одном из его плагинов. Успешное использование уязвимости приводит к автоматическому запуску кода эксплойта, который инструктирует броузер о скачивании с сайта распространителя запускаемого файла. Скачанный файл автоматически запускается и инстлируется на зараженной машине.

tramadol online pharmacy

Типичная схема распространения вредоносного ПО (троянов) через iframe

tramadol online pharmacy

Схема по словам исследователей упрощена и различные ее варианты используются, но суть остается прежней.

buy ambien online

Результаты исследования.

buy klonopin online without prescription

Исследование проходило с января 2007 по октябрь 2007 года. В течении этого времени, более 60 миллионов страниц было обработано с помощью созданной системы. Было обнаружено более 3 миллионов вредоносных страниц расположенных на более чем 180 тысячах сайтах. Так же было обнаружено свыше 9 тысяч сайтов распространителей. То есть порядка 5,1% из проверенных страницы содержали вредоносный код.

buy valium online no prescription

Так же для изучения предлагается следующий график – количество веродоносных страниц в выдаче по поисковым запросам:

xanax online pharmacy

se-iframe

buy ambien no prescription

График показывает вероятность обнаружения вредоносной страницы в результатах поискового запроса в различное время. В среднем получилось, что 1,3% поисковых запросов содержат в выдаче хотя бы одну страницу с вредоносным кодом. Как видно по графику, кол-во вредоносных страниц в выдаче только растет. Что собственно очень озаботило Google.

valium online without prescription

Еще из интересного показано, где хостятся сайты распростронители троянов (те что грузят непосредственно трояна после отработки эксплойта):

buy ambien without prescription

Китай – 67%
США – 15%
Россия – 4%
Малазия – 2,2%
Корея – 2.0 %

ambien online pharmacy

и распределение по тематике сайта (Тематика взята из каталога DMOZ)

buy phentermine no prescription

dmoz-iframe

особенно интересен график степени обнаружения антивирусными программами возможной угрозы, спец Google использовали 3 различные программы, но к сожалению не указывают какие.

antivirus-google

Делаем выводы, пользуемся антивирусами, не используем непатченный IE и не ходим по подозрительным местам.

-kass
Добавь в закладки: del.icio.us reddit.com technorati.com news2.ru moemesto.ru bobrdobr.ru memori.ru

Похожие посты:

comments are closed
  1. February 14th, 2008 | 12:53 | #1

    Спасибо, реально интересно – особенно методика исследования.

  2. February 14th, 2008 | 13:48 | #2

    А если хождение по подозрительным сайтам – это работа.. :)
    Касперский угнетает компьютер, Нортон не ловит..
    графики интересные, спасибо

  3. Serg
    February 14th, 2008 | 14:24 | #3

    Спасибо за статью и раскрытие темы, я даже больше скажу – система ханипотов используется и гос структурами..

  4. sework
    February 14th, 2008 | 14:33 | #4

    Ну что я могу сказать? Юзайте Оперу, антивирус и фаервол в связке с НАТ ;) и никакие ифрейм трояны вам нипочем.

  5. hristofor
    February 14th, 2008 | 15:08 | #5

    firefox forever!

  6. February 14th, 2008 | 15:22 | #6

    IE фтопку по дефолту 8)

  7. February 14th, 2008 | 15:29 | #7

    капитальное исследование, что ни говори…

  8. February 14th, 2008 | 17:23 | #8

    IE страшно использовать :( Вообще свзязка firewall и антивирус должны резать всю эту нечисть

  9. February 14th, 2008 | 19:35 | #9

    Лучше не качать

  10. February 15th, 2008 | 02:17 | #10

    Outpost firewall и nod 32 юзайте и все будет в порядке

  11. February 15th, 2008 | 02:27 | #11

    “не ходим по подозрительным местам.” по именам доменов не всегда можно определить подозрительные места; а этот совет похож на “не знакомимся с незнакомыми”

  12. February 15th, 2008 | 03:27 | #12

    интересное чтиво!
    а цифра 1,3% тоже впечатляет, но вот на этом графике мне кажется столбик с адалтом как-то занижен, но если они брали сайты только с DMOZ, где есть модерация, то вполне возможно.

  13. February 15th, 2008 | 05:32 | #13

    Самый простой вариант — не использовать IE. К тому же это уже давно устарелый по функциональности броузер. Opera рулит.
    Denys, я раньше тоже пользовался NOD32 и он нравился своей простотой и не сильно грузил систему. Это с учётом того, что я не хожу по всяким порно-ресурсам. Однажды вирус всё-таки схватил и уже не смог загрузиться :-( Так что тут для меня нет другой альтернативы кроме Касперского. Он вроде всю такую фигню убивает. Успехов.

  14. February 15th, 2008 | 06:13 | #14

    исследование конечно интересное, но с троянами шутить не стоит

  15. February 15th, 2008 | 07:54 | #15

    не знаю , чего такое случилось, но мой нод32 сегодная не захотел загружаться, сначала повесился, а потом загорелся красным и не хочет работать. IE не пользуюсь, но все равно страшно щас без него в инете сидеть. мало какая зараз прицепиться может. брррр

  16. February 15th, 2008 | 10:17 | #16

    имена доменов ничего не говорят
    в недавнем прошлом на gov было столько всякой фигни :)

  17. February 15th, 2008 | 17:29 | #17

    Трояны сейчас везде. Не только во фреймах, даже в спаме их до кучи ложат. Вообще этот бизнес разрастается на глазах.

  18. February 16th, 2008 | 07:20 | #18

    пользуюсь Outpost firewall и Avira AntiVir, пока не подводили), а от IE уже давно отказался, мне больше по душе Опира)

  19. February 17th, 2008 | 05:04 | #19

    у меня avast периодически ловит троянов на вроде бы приличных сайтах
    а google молодцы конечно, обстоятельную проверку провели

  20. February 17th, 2008 | 14:11 | #20

    тоже в начале пользовался NOD32, перешёл сейчас на Symantec, перехватывает лучше чем NOD

  21. February 17th, 2008 | 15:54 | #21

    Блин и выдумают такое вот молодцы

  22. February 19th, 2008 | 17:46 | #22

    понятно что под такую мясорубку лучше не попадать

  23. DeV
    February 22nd, 2008 | 04:34 | #23

    бывает и антивирус и файер невсегда помагает. раз подцепил спам бота – мыла отправлял. только перестановка системы помогла.

  24. Zuk
    February 22nd, 2008 | 08:48 | #24

    Авторам спасибо за статью – наглядно все и четко (особенно графики). Коментаторам спасибо – из коментов вижу кто какие антивирусы юзает и хвалит или наоборот. Буду иметь ввиду (хотя сам охраняюсь касперычем).

  25. February 24th, 2008 | 02:56 | #25

    месяц с этой заразой боролись, еле вывели

  26. Alex
    March 23rd, 2008 | 19:28 | #26

    Выводы неверные. Нужно юзать Linux и проблем не будет.