Блог Яндекса для вебмастеров

Четыре месяца наблюдения за вирусами

24 сентября 2009, 16:46

"Есть такое твердое правило <…> Встал поутру, умылся, привел себя в порядок — и сразу же приведи в порядок свою планету. Непременно надо каждый день выпалывать баобабы, как только их уже можно отличить от розовых кустов: молодые ростки у них почти одинаковые. Это очень скучная работа, но совсем не трудная."

Антуан де Сент-Экзюпери

Четыре месяца назад мы начали предупреждать пользователей Яндекса о потенциально опасных сайтах, а владельцам предоставили возможность получать оповещения, если на их сайтах обнаруживается вредоносный код. Ежедневно предупреждение о том, что "сайт может угрожать безопасности вашего компьютера" показывается около 4.5 млн. раз. Пользователи проявляют осторожность и избегают посещения помеченных сайтов. Только около 7% из них раскрывают и читают блок-предупреждение и всего 0.5% все же набираются смелости, чтобы перейти на опасный сайт на свой страх и риск. За эти 4 месяца работы наша база зараженных сайтов увеличилась почти в 2.5, а опасных страниц стало почти в 10 раз больше. Месяц назад мы значительно увеличили количество проверяемых страниц и заметно пополнили свою базу данных. Сейчас нам известно около 140 тыс. страниц на 30 тыс. веб-сайтов, которые могут предоставлять опасность для компьютеров пользователей при посещении.

Больше всего (более 31%) известных нам опасных сайтов располагается в зоне .com. Чуть меньше - в Рунете (30%). Также довольно часто нам приходится пополнять базу названиями китайских доменов из зоны .cn (чуть более 9%).

Больше, чем в половине случаев (почти 60%), инфицированные сайты содержат на своих страницах элементы <IFRAME>, которые вызывают обращение к серверу злоумышленников и загрузку специально подготовленного содержимого, заражающего компьютер пользователя через уязвимости в браузере или установленных программах. Часто такие <IFRAME> "спрятаны" при помощи короткого фрагмента кода на JavaScript, затрудняющего его обнаружение человеком и антивирусными программами. Примерно в 19% случаев страницы сайтов не содержат вредоносные <IFRAME> или код на JavaScript, который их добавляет, а ссылаются при помощи тега <SCRIPT> на сценарий JavaScript, который находится на специальном сайте злоумышленников.

*Классификация по версии компании Sophos. Различные версии вердиктов Iframe и Badsrc объединены.

До сих пор достаточно большое количество (9%) сайтов инфицировано вирусом Gumblar, эпидемия которого началась еще в мае. Около 1.5% сайтов подверглись изменениям, которые не все владельцы быстро обнаруживают, и перенаправляют посетителей на страницы, "предлагающие" фальшивые антивирусы.

В сутки мы находим в среднем более 7000 инфицированных сайтов. Мы рады видеть, что сайты не только заражаются, но и излечиваются. Огорчает только то, что ежедневно в среднем всего около 650 сайтов становятся безопасными, и наша база постоянно растет... Причина этому, видимо в том, что не все владельцы сайтов уделяют достаточно внимания вопросам безопасности и регулярному слежению за состоянием своих ресурсов. Так, например, более 20% зараженных сайтов остаются зараженными в течение месяца и более, при этом 8% всех инфицированных ресурсов остаются такими уже дольше, чем 3 месяца!

Надеемся, что владельцы будут уделять достаточно внимания безопасности своих сайтов и мониторингу их состояния. Яндекс помогает в этом, предоставляя специальный сервис Яндекс.Вебмастер, при помощи которого, в частности, можно своевременно получить оповещение, если сайт заразился, и запросить перепроверку содержимого, когда проблема исправлена. Сайт, остающийся инфицированным, не только создает пользователям проблемы, но и отталкивает многих посетителей. Со своей стороны, мы не остановимся на достигнутом и продолжим работать, чтобы пользователи могли найти нужную информацию в интернете быстро и без риска для своих компьютеров и данных. Мы будем улучшать систему, пополняя и оперативно проверяя базу данных опасных сайтов и совершенствуя алгоритмы определения вредоносного содержимого. Кроме того, мы продолжим публикацию информации, которая может быть полезна владельцам сайтов и пользователям интернета, в нашем блоге и разделе помощи.

 

Группа пролетарского гнева
15 комментариев
Подписаться на комментарии к посту
Интересно посмотреть статистику по операционным системам того полупроцента пользователей, которые все-таки переходят на зараженные сайты :-).
ага, то любопытно =) зы. решето!

а мне бы была интересна другая статистика: соотношение переходов с домашнего и офисного компьютепров :))

 

Поддерживаю. Это был бы показатель (правда, трактуемый по-всякому).
Кстати щё в понедельник писал в своём блоге - http://atrunet.ru/archives/2133
Невроятно, но - факт http://terror.habrahabr.ru/blog/70171/#comment_2003018

Причем владельцев не очень беспокоит: http://www.yandex.ru/yandsearch?text=ixbt
А расскажите, какой инструмент помогает такие красивые графики делать :)
Было бы интересно еще увидеть рейтинг популярности эксплуатируемых уязвимостей (по браузерам, по плагинам ...) и если есть данные, что они в итоге ставят на систему.
Спасибо за предложение. Постараемся включить в один из следующих рассказов.
4 месяца работы Х 30 дней Х 7000 инфицированных сайтов = 840000 нашли 4 месяца работы Х 30 дней Х 650 сайтов = 78000 становятся безопасными 840000 - 78000 = 762000, а известно только 30000 веб-сайтов...
Каждый день мы проверяем множество сайтов. И конечно же, мы очень часто перепроверяем зараженные сайты, чтобы убирать предупреждение на выдаче сразу же после того, как с сайта удаляется вредоносный код. Таким образом, из того, что мы ежедневно проверяем (т.е. уже зараженные сайты и вновь обследуемые), примерно 7000 содержит вредоносный код.
Я сам установил вполне безобидный рекламный код в , а сайт всё равно был внесён в эту базу. Пришлось снимать. Я что-то не совсем понимаю, Яндекс, который позиционирует себя как "зеркало рунета" решил стать его цензором? Дайте хоть возможность в панеле вебмастера запрещать проверку сайта на наличие кодов.
makeev.anatolii.2010
20 октября 2009, 03:01
предупрежден-значит вооружен
А поставьте тег "вирус", плз. Спасибо
Обычно и-фреймами сайты поражаются опасными вирями, сканирующими протоколы во всяко-разных FTP-клиентах, в том числе и в разных командирах.