Ни для кого уже не секрет, что одно из направлений заработка по черному это установка через IFRAME трояна пользователю. Подобные “предприниматели” скупают трафик, запускают партнерские программы с одной целью – заразить как можно большее число пользователей трояном и в последствии использовать его в корыстных целях (создание ботнетов для проведения Ddos атак, прокси для спама и так далее). Я не буду обсуждать или осуждать данный вид деятельности, мой пост не о том.
Речь пойдет о проверенном компанией Google исследовании на тему, сколько же страниц содержащих вредоносный код содержится в выдаче поисковой системы Google. Итоги исследования были представлены на прошлой неделе в виде PDF “All Your iFRAME Are Point to Us“, отчет на английском , можете ознакомится, я же расскажу более кратко о результатах.
Как и что проверяли.
В ходе десятимесячной проверки спецы из Google просканировали 66 миллионов страниц по различных поисковых запросам, из них 7 миллионов были взяты из каталога DMOZ. Для проверки разработана сеть, так называемых web-honeypot которые представляют из себя n-е количество Windows виртуальных машин с настройками типичного пользователя. На каждом таком honeypot-е запущен непропатченный Internet Explorer. Для проверки очередного URL-а система подгружает чистую копию Windows и автоматически грузит в броузере “пациента”. Определение заражения происходит на основе эвристического анализа + антивирусных программ. Дополнительно к этому каждая виртуальная машина, после посещения очередного адреса выжидает 2 минуты и мониторит систему на наличие ненормальных процессов и/или изменений. В нагрузку ко всему каждое HTTP соединение сканится 3мя различными антивирусными программами.
Как мы видим, анализ идет весьма плотный и глубокий, о чем свидетельствует и время потраченное на него (10 месяцев) – это при вычислительных мощностях Google.
Типичная схемы распространения вредоносного ПО (троянов)
В ходе исследования выявлена типичная схема распространения вредоносного ПО. Пользователь посещает сайт содержащий iframe (1), внутри ифремейма его броузер скачивает так называемый initial exploit. Скрипт эксплойта (как правило javascript) нацелен на определенную уязвимость в броузере и/или в одном из его плагинов. Успешное использование уязвимости приводит к автоматическому запуску кода эксплойта, который инструктирует броузер о скачивании с сайта распространителя запускаемого файла. Скачанный файл автоматически запускается и инстлируется на зараженной машине.
Схема по словам исследователей упрощена и различные ее варианты используются, но суть остается прежней.
Результаты исследования.
Исследование проходило с января 2007 по октябрь 2007 года. В течении этого времени, более 60 миллионов страниц было обработано с помощью созданной системы. Было обнаружено более 3 миллионов вредоносных страниц расположенных на более чем 180 тысячах сайтах. Так же было обнаружено свыше 9 тысяч сайтов распространителей. То есть порядка 5,1% из проверенных страницы содержали вредоносный код.
Так же для изучения предлагается следующий график – количество веродоносных страниц в выдаче по поисковым запросам:
График показывает вероятность обнаружения вредоносной страницы в результатах поискового запроса в различное время. В среднем получилось, что 1,3% поисковых запросов содержат в выдаче хотя бы одну страницу с вредоносным кодом. Как видно по графику, кол-во вредоносных страниц в выдаче только растет. Что собственно очень озаботило Google.
Еще из интересного показано, где хостятся сайты распростронители троянов (те что грузят непосредственно трояна после отработки эксплойта):
Китай – 67%
США – 15%
Россия – 4%
Малазия – 2,2%
Корея – 2.0 %
и распределение по тематике сайта (Тематика взята из каталога DMOZ)
особенно интересен график степени обнаружения антивирусными программами возможной угрозы, спец Google использовали 3 различные программы, но к сожалению не указывают какие.
Делаем выводы, пользуемся антивирусами, не используем непатченный IE и не ходим по подозрительным местам.
Спасибо, реально интересно – особенно методика исследования.
А если хождение по подозрительным сайтам – это работа..
Касперский угнетает компьютер, Нортон не ловит..
графики интересные, спасибо
Спасибо за статью и раскрытие темы, я даже больше скажу – система ханипотов используется и гос структурами..
Ну что я могу сказать? Юзайте Оперу, антивирус и фаервол в связке с НАТ
и никакие ифрейм трояны вам нипочем.
firefox forever!
IE фтопку по дефолту
капитальное исследование, что ни говори…
IE страшно использовать
Вообще свзязка firewall и антивирус должны резать всю эту нечисть
Лучше не качать
Outpost firewall и nod 32 юзайте и все будет в порядке
“не ходим по подозрительным местам.” по именам доменов не всегда можно определить подозрительные места; а этот совет похож на “не знакомимся с незнакомыми”
интересное чтиво!
а цифра 1,3% тоже впечатляет, но вот на этом графике мне кажется столбик с адалтом как-то занижен, но если они брали сайты только с DMOZ, где есть модерация, то вполне возможно.
Самый простой вариант — не использовать IE. К тому же это уже давно устарелый по функциональности броузер. Opera рулит.
Так что тут для меня нет другой альтернативы кроме Касперского. Он вроде всю такую фигню убивает. Успехов.
Denys, я раньше тоже пользовался NOD32 и он нравился своей простотой и не сильно грузил систему. Это с учётом того, что я не хожу по всяким порно-ресурсам. Однажды вирус всё-таки схватил и уже не смог загрузиться
исследование конечно интересное, но с троянами шутить не стоит
не знаю , чего такое случилось, но мой нод32 сегодная не захотел загружаться, сначала повесился, а потом загорелся красным и не хочет работать. IE не пользуюсь, но все равно страшно щас без него в инете сидеть. мало какая зараз прицепиться может. брррр
имена доменов ничего не говорят
в недавнем прошлом на gov было столько всякой фигни
Трояны сейчас везде. Не только во фреймах, даже в спаме их до кучи ложат. Вообще этот бизнес разрастается на глазах.
пользуюсь Outpost firewall и Avira AntiVir, пока не подводили), а от IE уже давно отказался, мне больше по душе Опира)
у меня avast периодически ловит троянов на вроде бы приличных сайтах
а google молодцы конечно, обстоятельную проверку провели
тоже в начале пользовался NOD32, перешёл сейчас на Symantec, перехватывает лучше чем NOD
Блин и выдумают такое вот молодцы
понятно что под такую мясорубку лучше не попадать
бывает и антивирус и файер невсегда помагает. раз подцепил спам бота – мыла отправлял. только перестановка системы помогла.
Авторам спасибо за статью – наглядно все и четко (особенно графики). Коментаторам спасибо – из коментов вижу кто какие антивирусы юзает и хвалит или наоборот. Буду иметь ввиду (хотя сам охраняюсь касперычем).
месяц с этой заразой боролись, еле вывели
Выводы неверные. Нужно юзать Linux и проблем не будет.