:Оптимизация черная и белая

Ни для кого уже не секрет, что одно из направлений заработка по черному это установка через IFRAME трояна пользователю. Подобные “предприниматели” скупают трафик, запускают партнерские программы с одной целью – заразить как можно большее число пользователей трояном и в последствии использовать его в корыстных целях (создание ботнетов для проведения Ddos атак, прокси для спама и так далее). Я не буду обсуждать или осуждать данный вид деятельности, мой пост не о том.

Речь пойдет о проверенном компанией Google исследовании на тему, сколько же страниц содержащих вредоносный код содержится в выдаче поисковой системы Google. Итоги исследования были представлены на прошлой неделе в виде PDF “All Your iFRAME Are Point to Us“, отчет на английском , можете ознакомится, я же расскажу более кратко о результатах.

Как и что проверяли.

В ходе десятимесячной проверки спецы из Google просканировали 66 миллионов страниц по различных поисковых запросам, из них 7 миллионов были взяты из каталога DMOZ. Для проверки разработана сеть, так называемых web-honeypot которые представляют из себя n-е количество Windows виртуальных машин с настройками типичного пользователя. На каждом таком honeypot-е запущен непропатченный Internet Explorer. Для проверки очередного URL-а система подгружает чистую копию Windows и автоматически грузит в броузере “пациента”. Определение заражения происходит на основе эвристического анализа + антивирусных программ. Дополнительно к этому каждая виртуальная машина, после посещения очередного адреса выжидает 2 минуты и мониторит систему на наличие ненормальных процессов и/или изменений. В нагрузку ко всему каждое HTTP соединение сканится 3мя различными антивирусными программами.

Как мы видим, анализ идет весьма плотный и глубокий, о чем свидетельствует и время потраченное на него (10 месяцев) – это при вычислительных мощностях Google.

Типичная схемы распространения вредоносного ПО (троянов)

В ходе исследования выявлена типичная схема распространения вредоносного ПО. Пользователь посещает сайт содержащий iframe (1), внутри ифремейма его броузер скачивает так называемый initial exploit. Скрипт эксплойта (как правило javascript) нацелен на определенную уязвимость в броузере и/или в одном из его плагинов. Успешное использование уязвимости приводит к автоматическому запуску кода эксплойта, который инструктирует броузер о скачивании с сайта распространителя запускаемого файла. Скачанный файл автоматически запускается и инстлируется на зараженной машине.

Схема по словам исследователей упрощена и различные ее варианты используются, но суть остается прежней.

Результаты исследования.

Исследование проходило с января 2007 по октябрь 2007 года. В течении этого времени, более 60 миллионов страниц было обработано с помощью созданной системы. Было обнаружено более 3 миллионов вредоносных страниц расположенных на более чем 180 тысячах сайтах. Так же было обнаружено свыше 9 тысяч сайтов распространителей. То есть порядка 5,1% из проверенных страницы содержали вредоносный код.

Так же для изучения предлагается следующий график – количество веродоносных страниц в выдаче по поисковым запросам:

График показывает вероятность обнаружения вредоносной страницы в результатах поискового запроса в различное время. В среднем получилось, что 1,3% поисковых запросов содержат в выдаче хотя бы одну страницу с вредоносным кодом. Как видно по графику, кол-во вредоносных страниц в выдаче только растет. Что собственно очень озаботило Google.

Еще из интересного показано, где хостятся сайты распростронители троянов (те что грузят непосредственно трояна после отработки эксплойта):

Китай – 67%
США – 15%
Россия – 4%
Малазия – 2,2%
Корея – 2.0 %

и распределение по тематике сайта (Тематика взята из каталога DMOZ)

особенно интересен график степени обнаружения антивирусными программами возможной угрозы, спец Google использовали 3 различные программы, но к сожалению не указывают какие.

Делаем выводы, пользуемся антивирусами, не используем непатченный IE и не ходим по подозрительным местам.