Среди ответов Яндекса на вопросы пользователей большую часть составляют ссылки на те или иные сайты. К сожалению, кроме полезных сайтов встречаются и такие, которые могут представлять опасность для компьютера пользователя — из-за содержащегося на них вредоносного кода. Посещение зараженного сайта может привести к краже личной информации пользователя, уничтожению данных, использованию компьютера без ведома его владельца или подписке на платные sms-услуги.
По оценкам Яндекса, общее число заражённых сайтов не превышает 1%. Но среди них часто оказываются популярные ресурсы, поскольку именно там злоумышленникам выгоднее всего размещать вредоносный код. Ежедневно в список заражённых сайтов попадают десятки популярных ресурсов с индексом цитирования более 1000, несколько раз в месяц вирус обнаруживается на высокорейтинговых сайтах — с индексом цитирования более 10000.
С мая 2009 года Яндекс проверяет индексируемые веб-страницы и предупреждает пользователей об опасных сайтах. В результатах поиска рядом с такими веб-страницами появляется пометка «Этот сайт может угрожать безопасности вашего компьютера». Также о заражённых страницах предупреждают Почта, Браузер, Яндекс.DNS и другие сервисы и приложения.
Как устроена антивирусная система Яндекса
Современная веб-страница состоит из множества элементов. Это не только разного рода контент — тексты или изображения, — но и различные стили CSS, модули Java Script и полноценные программы. Как правило, эти программы выполняют полезную роль, например, оптимизируют разметку страницы под разрешение монитора пользователя или подсчитывают стоимость товаров в корзине. Однако при помощи этих элементов страницы, а также уязвимостей в браузерах и их дополнениях злоумышленники пишут программы, которые могут устанавливать и запускать вирусы на компьютере пользователя.
Переход на веб-страницы с подобными программами с большой вероятностью приведёт к заражению компьютера. Заражение при просмотре страниц сегодня происходит чаще, чем по локальной сети, при скачивании файлов из интернета или копировании файлов с заражённого компьютера.
Вредоносный код чаще всего внедряется на сайты злоумышленниками, которые каким-либо образом получили доступ к серверам или системе управления сайтом. Кроме того, источником заражения могут быть коды баннерных систем, счётчиков и другой сторонний код, который вставляют на страницу владельцы сайтов. Баннерные системы могут быть взломаны так же, как и любые другие сайты, и владельцы сайтов, разместившие у себя заражённый баннер, могут даже не подозревать об этом.
Сайт, который ещё вчера был безопасен, сегодня может быть заражён. Чтобы знать, какие сайты представляют опасность в данный момент, Яндекс ежедневно проверяет десятки миллионов страниц и находит тысячи новых заражённых сайтов.
Для обнаружения заражённых страниц Яндекс использует две технологии — антивирусную технологию компании Sophos и антивирусный комплекс собственной разработки.
Технология Sophos построена на сигнатурном подходе и преимущественно опирается на базу уже известных вредоносных кодов (сигнатур). При проверке сайта антивирус сравнивает код веб-страницы с известными сигнатурами и, если находит соответствие, то определяет эту страницу как заражённую. Технология обнаружения вирусов на основе сигнатур прекрасно выявляет уже известные угрозы, но, к сожалению, зачастую бессильна против новых вирусов — до тех пор, пока они не попадут в антивирусные базы.
Антивирусный комплекс Яндекса построен на ином подходе — поведенческом. Его суть в том, что программа имитирует поведение пользователя: робот заходит на проверяемую страницу и анализирует, что происходит в системе. Если без ведома пользователя начинает исполняться или скачиваться какая-либо программа, скорее всего, страница заражена. При этом неважно, где размещен вредоносный код — в собственном коде веб-страницы, в стороннем коде (например, баннерной системы) или где-то ещё. Основное преимущество поведенческого подхода — способность выявлять новые вирусы, которые ещё не успели попасть в антивирусные базы.
Благодаря различию подходов — поведенческого и сигнатурного, антивирусы Яндекса и Sophos находят разные вирусы — пересечение составляет 34%. По договорённости с компанией Sophos Яндекс передаёт ей информацию об обнаруженных вирусах для добавления их в антивирусные базы.
Ежемесячно с помощью антивируса компании Sophos и своего собственного Яндекс проверяет около миллиарда страниц и предупреждает пользователей о заражённых сайтах.
Владельцы сайтов часто даже не подозревают о том, что их сайт содержит вредоносный код — заражение может произойти в результате взлома или из-за ошибок в администрировании. Следить за состоянием своего ресурса можно с помощью сервиса
Яндекс.Вебмастер — в случае обнаружения вредоносного кода владелец сайта получит уведомление и сможет быстро привести сайт в порядок. Если при повторной проверке ресурса опасные элементы не обнаружатся, предупреждающая пометка в результатах поиска будет снята.