На сайте завелся вирус, и, как любой зараженный объект, ваш веб-ресурс превратился в один большой источник неприятностей: теперь он не только не приносит прибыль, но и порочит вашу репутацию в интернете, от вас отворачиваются покупатели, поисковые системы и даже хостер.

Вы остаетесь один на один со своей проблемой и пытаетесь решить ее собственными силами, не обращаясь к профессионалам, зато следуя советам «специалистов» с форумов. Или заказываете лечение сайта там, где «подешевле». Что поделать, ведь всегда хочется решить проблему как можно быстрее и с наименьшими затратами. Но всегда ли такой подход оправдан?

Представляем вашему вниманию ТОП-7 ошибок прошедшего года, которые совершали веб-мастера, стараясь восстановить работоспособность сайта после взлома и заражения.

Ошибка №1. Восстановление сайта из бэкапа как способ избавиться от вредоносного кода

Очень часто проблему заражения сайта вредоносным кодом веб-мастера пытаются решить откатом сайта до последней чистой версии. И продолжают восстанавливать веб-проект каждый раз, как только вирус на сайте вновь дает о себе знать. Увы, это неудобный и очень рисковый вариант.

Правильное решение: Сайт нужно лечить и ставить защиту от взлома, чтобы избежать повторного заражения. Во-первых, контент сайта может обновляться, на сайт могут устанавливаться новые плагины, в скрипты сайта могут вноситься изменения. Каждый откат назад означает, что вы теряете результаты трудов всех последних дней. Но есть и более важная причина для кардинальной борьбы со взломом: а что если хакер в один прекрасный день решит уничтожить ваш сайт полностью, ведь у него есть доступ к вашему веб-ресурсу?

Ошибка №2. Обман поисковика с целью вывода сайта из-под санкций

Сайт попадает в список «угрожающих безопасности компьютера или мобильного устройства…» из-за вируса на сайте или редиректа посетителей на зараженный ресурс. В панели веб-мастера отображаются примеры зараженных страниц, но хитрый или невежественный веб-мастер вместо решения проблемы (поиска и удаления источника вредоносного кода) удаляет некоторые страницы, которые показывают поисковики в примерах заражения. Или, как вариант, целиком блокируют доступ к сайту с помощью правил в robots.txt, наивно полагая, что это заблокирует и доступ антивирусному боту к сайту.

Правильное решение: Нужно найти вирусный код на сайте и удалить его. Запрещать индексацию не только бесполезно, но и опасно. Во-первых, страницы сайта могут выпасть из поискового индекса. Ну, а, во-вторых, робот антивирусного сервиса работает по правилам, отличным от правил поискового механизма, и запрет индексации на него никак не влияет.

Ошибка №3. Использование сканера вредоносного кода некомпетентными специалистами

С целью экономии или по каким-то другим причинам лечением сайта начинает заниматься недостаточно подготовленный специалист, который не может на 100% определить, является ли фрагмент, выделенный сканером вредоносного кода, действительно опасным. В результате можно наблюдать две крайности: удаляются абсолютно все подозрения на вирус, что приводит к поломке сайта, либо вредоносный код устраняется не полностью, что провоцирует рецидив.

Правильное решение: Очевидно, что лечением веб-ресурса должны заниматься профессионалы. В отчете сканеров вредоносного кода бывают ложные срабатывания, так как один и тот же фрагмент может использоваться как в легитимном коде, так и хакерском. Нужно анализировать каждый файл, иначе можно удалить критические элементы, что может привести к сбоям в работе сайта или его полной поломке. Или, наоборот, есть риск не распознать хакерский шелл, что приведет к повторному заражению веб-ресурса.

Ошибка №4. Игнорирование сообщений (в панели веб-мастера) о присутствии вредоносного кода на сайте

Уведомление о присутствии вредоносного кода на сайте в панели веб-мастера может быть непостоянным. Сегодня система пишет, что на вашем сайте вирус, а завтра - молчит. Владельцу сайта приятнее думать, что в системе произошел какой-то сбой, и его сайт вне всяких подозрений. Однако на практике все обстоит не так. Существуют разные виды заражений. Вредоносный код может появляться на сайте лишь на какое-то время, а потом исчезать. Это значит, что при очередной проверке сайта ботом антивируса поисковой системы вредонос может быть обнаружен, а при другой - нет. В результате веб-мастер «расслабляется» и начинает игнорировать опасное сообщение: «Зачем тратить время на лечение, ведь сайт не заблокировали».

Правильное решение: Если на сайте замечена вредоносная активность, скорее всего ваш, веб-ресурс взломан и заражен. Вирусы на сайте не появляются сами по себе. То, что вчера поисковик обнаружил подозрительный код на сайте, а потом «промолчал», не только не должно игнорироваться веб-мастером, а, наоборот, должно послужить сигналом к тревоге. Кто знает, каким образом ваш ресурс будет эксплуатироваться завтра? - Спам, фишинг или редиректы. Нужно сразу выполнить сканирование сайта на наличие хакерских бэкдоров, шеллов, пролечить и защитить от взлома.

Ошибка №5. Лечение сайтов фрилансерами-непрофессионалами.

В принципе, работа с фрилансерами в данном вопросе ничем не отличается от других сфер. Дешево - не всегда качественно, зато почти всегда без гарантий и договорных отношений. Большинство фрилансеров, не специализирующихся на проблемах безопасности сайтов, работают с последствиями хакерской атаки, но не с причиной - уязвимостями сайта. А это значит, что сайт могут взломать повторно. Хуже того, встречаются и недобросовестные исполнители, которые могут подсадить другой вредоносный код на сайт, украсть базу данных и т.п.

Правильное решение: Обратитесь в специализированную компанию, которая занимается лечением и защитой сайтов от взлома. Сотрудники таких компаний каждый день удаляют вредоносный код, видят мутацию вирусов и следят за эволюцией хакерских атак. Темный рынок взломов не стоит на одном месте, он развивается и требует постоянного мониторинга и соответствующих ответных действий при лечении и защите сайта от несанкционированных вторжений.

Ошибка №6. Ежедневное/еженедельное удаление одного и того же вируса с сайта.

Эта проблема касается особых «энтузиастов», которые готовы на регулярной основе устранять последствия взлома. Такие веб-мастера уже знают, какой конкретно код будет подсажен на сайт, конкретно куда и когда это произойдет. Так можно бесконечно бороться с мобильным редиректом, который ежедневно в 09-30 внедряется злоумышленником в файл.htaccess и перенаправляет ваш мобильный трафик на сайт по продаже виагры или порноконтента. Только вот незадача: хакерский бот делает это в автоматическом режиме, а вам приходится выполнять операцию по удалению вручную. Не честно ведь, правда?

Правильное решение: Можно бесконечно удалять последствия (вирусы, редиректы и пр.), но эффективнее проверить сайт на вредоносные и хакерские скрипты, удалить их и установить защиту от взлома, чтобы больше вирусный код не появлялся. А освободившееся время потратить более эффективно. Главное, помните, что у хакера уже есть доступ к вашему сайту, а это значит, что в следующий раз он может не ограничиться знакомым вам вредоносным кодом, а использовать ваш сайт для более серьезных кибер-преступлений.

Ошибка №7. Лечение завирусованного сайта антивирусом для компьютера

Понятие «антивирус» для некоторых веб-мастеров универсально, и они пытаются вылечить взломанный и зараженный сайт с помощью антивируса, предназначенного для компьютера. Делается бэкап сайта и проверяется десктопной версией антивирусного программного обеспечения. Увы, но такое лечение не в состоянии дать желаемых результатов.

Правильное решение: Вирусы на сайте и на компьютере - не одно и тоже. Для проверки сайта нужно использовать специализированное ПО или обращаться к специалистам. Десктопные антивирусы, какими бы хорошими они ни были, не предназначены для лечения сайтов от вирусов, так как их база данных ориентирована на вирусы и «трояны» на компьютере.

На этом все. Не наступайте на те же грабли!

Данная неполадка может быть вызвана внедрением вредоносной программы в браузер. Этот тип вредоносных программ направлен на изменение параметров браузера. Возможно возникновение любой из указанных ниже ситуаций:

Если на экране отобразится всплывающее окно со ссылкой на сторонний веб-сайт службы поддержки или вы уверены, что стали объектом мошеннических действий, ознакомьтесь со статьей .

Выполнение сканирования Norton Power Eraser - Сканирование на нежелательные приложения

Выберите в качестве расположения Рабочий стол и нажмите кнопку Сохранить .

Для запуска Norton Power Eraser дважды щелкните файл NPE.exe .

Если появилось окно

Сканирование на нежелательные приложения .

Результаты сканирования Norton Power Eraser будут показаны в окне .

В окне Сканирование на нежелательные приложения завершено нажмите кнопку Удалить напротив нежелательного приложения или панели инструментов.

Выполните показанные на экране инструкции.

После завершения процесса удаления перезагрузите компьютер.

Если Norton Power Eraser не удалось удалить нежелательные панели инструментов, удалите их вручную с помощью функции "Установка и удаление программ" или "Удаление программы" на панели инструментов. Программы показа рекламы обычно устанавливают новые панели инструментов в браузерах и изменяют службу поиска, применяемую по умолчанию. Для того чтобы полностью удалить нежелательные панели инструментов и службы поиска, необходимо сбросить настройки веб-браузера.

Запустите Internet Explorer.

В меню Сервис выберите Управление надстройками .

В окне Надстройки выберите Панели инструментов и расширения в разделе Типы надстроек .

Если показанный список будет содержать подозрительную панель инструментов, выберите ее и нажмите кнопку Отключить .

В окне Надстройки выберите Поставщики поиска в разделе Типы надстроек .

Выберите службу поиска и нажмите Использовать по умолчанию .

Выберите неизвестную службу поиска и нажмите Удалить и Закрыть .

В меню Сервис выберите Свойства обозревателя .

На вкладке Общие в разделе Домашняя страница введите адрес предпочитаемой начальной страницы.

Нажмите кнопки Применить и OK .

На рабочем столе щелкните правой кнопкой значок Internet Explorer и выберите Свойства .

В окне Свойства Internet Explorer на вкладке Ярлык удалите текст после iexplore.exe в поле Объект .

Нажмите Применить и OK для сохранения изменений.

Нажмите кнопку Закрыть .

Запустите Google Chrome.

В правом верхнем углу нажмите значок Настройка и управление Google Chrome , затем выберите Настройки .

В области Chrome нажмите Расширения .

В окне Расширения выберите неизвестные расширения и нажмите значок корзины.

В области Chrome нажмите Настройки .

В окне Настройки выберите Следующие страницы в разделе Начальная группа .

В окне Начальные страницы выберите подозрительные записи и нажмите значок X .

Нажмите кнопку OK .

В окне Настройки выберите Показывать кнопку "Главная страница" в разделе Внешний вид и нажмите Изменить .

В окне Главная страница выберите пункт Страница быстрого доступа и нажмите кнопку OK .

В окне Настройки нажмите в разделе Поиск .

В окне Поисковые системы выберите предпочитаемую поисковую систему и нажмите Использовать по умолчанию .

В списке Настройка поиска по умолчанию выберите неизвестную службу поиска и нажмите значок X .

Нажмите кнопку Готово .

Запустите Firefox.

В правом верхнем углу нажмите значок Открыть меню и выберите Дополнения .

На странице Управление дополнениями выберите Расширения .

Проверьте список расширений на наличие подозрительных записей. Если они есть, выберите расширение и нажмите Отключить .

Нажмите значок Открыть меню и выберите Настройки .

На вкладке Основные окна Настройки нажмите кнопку Восстановить по умолчанию .

Нажмите кнопку OK .

В окне Firefox нажмите значок со стрелкой вниз рядом с полем URL и выберите Управление поисковыми системами .

В окне Управление списком поисковых систем выберите неизвестную службу поиска и нажмите кнопку Удалить .

Нажмите кнопку OK .

Выполните сканирование Norton Power Eraser

Дважды щелкните файл NPE.exe для запуска Norton Power Eraser.

Если появилось окно Управление учетными записями пользователей , нажмите кнопку Да или Продолжить .

Ознакомьтесь с условиями лицензионного соглашения и нажмите кнопку Принять .

В окне Norton Power Eraser нажмите значок Сканировать на предмет угроз .

По умолчанию Norton Power Eraser выполняет сканирование системы на наличие руткитов и предлагает перезагрузить систему. В окне запроса на перезагрузку системы нажмите кнопку Перезагрузить . Для отказа от сканирования на наличие руткитов выберите .

После перезапуска компьютера процесс сканирования запускается автоматически. Выполните показанные на экране инструкции.

Дождитесь результатов сканирования.

Видеоролик

Требуется дополнительная помощь?

Check for incorrect DNS settings

control

Click the Network and Internet icon, and then click Network and Sharing Center . In the left pane, click Change adapter settings .

On Windows XP: Double-click the Network Connections icon.

Right-click the network adapter that is currently active, and then click Properties .

If the User Account Control prompt appears, click Yes or Continue .

In the Network Connection Properties window, under "This connection uses the following items", click Internet Protocol (TCP/IP) or Internet Protocol Version 4 (TCP/IPv4) .

Click Properties .

In the Internet Protocol (TCP/IP) Properties window, on the General tab, check the DNS server settings.

• If Use the following DNS server addresses radio button is selected, check the server addresses. Make sure that the DNS server addresses displayed are the same that are provided to you by your Internet service provider or your network administrator.

  If the DNS server address starts with 85.255.11x.x, then it is more likely that the DNS cache has been poisoned as the result of a Pharming attack.

Fix incorrect Windows host file settings

Press the Windows + R keys to open the Run dialog box.

Type in the following text, and then press Enter .

C:\Windows\System32\Drivers\etc

Replace the drive letter if C : drive is not the system drive.

For each Hosts file that you find, right-click the file, and then click Open With or Open .

Double-click Notepad from the list of programs.

Remove any line that appears in your hosts file without an # at the beginning, apart from the "127.0.0.1 localhost" line.

On the File menu, select Save .

Check if you can access the Internet.

Fix incorrect proxy settings

If you have not configured your computer to use proxy for the Internet connection, you can skip this Step.

Start Internet Explorer.

On the Tools menu, select Internet Options .

On the Connections tab, click LAN Settings .

Verify that your proxy settings are correct. Do one of the following:

If the proxy settings are incorrect, make sure that you enter the correct proxy settings.

If the proxy settings are correct, temporarily disable the proxy. Uncheck Use a proxy server for your LAN.

In the Internet Options window, click Apply > OK .

Uninstall or disable unknown toolbars

If you want to completely remove a toolbar, you can use Add/Remove Programs or Uninstall a Program in the Control Panel.

Start Internet Explorer.

On the Tools menu, click Manage Add-ons .

If you find any unknown toolbar that is listed, select the toolbar, and then click Disable .

Click Close .

If the issue persists, go to Step 5.

Run a scan using Norton Power Eraser

Save the file to Windows desktop.

Open the windows run dialog (Windows key+R).

Drag and drop NPE.exe into the run box, this will automatically populate it with the full path Add the following switch to the end of the line:

The run line should look like:

"C:\Documents and Settings\user_name\Desktop\NPE.exe" /VSS 111

Click OK .

1. If the scan comes clean, go to Step 6.

В настоящее время большинство компьютерных атак происходит при посещении вредоносных веб-страниц. Пользователь может быть введен в заблуждение, предоставляя конфиденциальные данные фишинг-сайту или стать жертвой атаки drive-by download, использующую браузерные уязвимости. Таким образом, современный антивирус должен обеспечивать защиту не только непосредственно от вредоносного ПО, но и от опасных веб-ресурсов.

Антивирусные решения используют различные методы для выявления сайтов с вредоносным ПО: сравнение базы данных сигнатур и эвристический анализ. Сигнатуры используются для точного определения известных угроз, в то время как эвристический анализ определяет вероятность опасного поведения. Использование базы вирусов является более надежным методом, обеспечивающим минимальное количество ложных срабатываний. Однако данный метод не позволяет обнаруживать неизвестные новейшие угрозы.

Появившаяся угроза сначала должна быть обнаружена и проанализирована сотрудниками лаборатории антивирусного вендора. На основании анализа создается соответствующая сигнатура, которая может быть использована для нахождения вредоносного ПО. Напротив, эвристический метод применяется для выявления неизвестных угроз на основании подозрительных поведенческих факторов. Данный способ оценивает вероятность опасности, поэтому возможны ложные срабатывания.

При обнаружении вредоносных ссылок оба метода могут работать одновременно. Чтобы добавить опасный ресурс в список запрещенных сайтов (blacklist) необходимо провести анализ, загрузив содержимое и просканировав его при помощи антивируса или системы обнаружения вторжений (Intrusion Detection System).

Ниже представлен лог событий системы Suricata IDS при блокировании эксплойтов:

Пример отчета системы IDS с указанием угроз, определенных с помощью сигнатур:

Пример предупреждения антивируса Ad–Aware при посещении вредоносного сайта:

Эвристический анализ выполняется на клиентской стороне для проверки посещаемых сайтов. Специально разработанные алгоритмы предупреждают пользователя в случае, если посещаемый ресурс отвечает опасным или подозрительным характеристикам. Данные алгоритмы могут быть построены на лексическом анализе контента или на оценки расположения ресурса. Лексическая модель определения используется для предупреждения пользователя при фишинг-атаках. Например URL адрес вида “http://paaypall.5gbfree.com/index.php ” или “http://paypal-intern.de/secure/ ” легко определяются как фишинг-копии известной платежной системы “paypal”.

Анализ размещения ресурса собирает информацию о хостинге и о доменном имени. На основании полученных данных специализированный алгоритм определяет степень опасности сайта. Эти данные обычно включают географические данные, информацию о регистраторе и о лице, зарегистрировавшем домен.

Ниже представлен пример размещения нескольких фишинг-сайтов на одном IP-адресе:

В конечном счете, несмотря на множество способов оценки сайтов, ни она методика не может дать 100%-ной гарантии защиты Вашей системы. Только совместное использование нескольких технологии компьютерной безопасности позволяет дать определенную уверенность в защите персональных данных.

Распространение вредоносного ПО через веб-сайты

Костин Раю, Лаборатория Касперского

Вступление. Киберпреступность: тенденции и развитие

За последние несколько лет интернет стал опасным местом. Изначально созданный для сравнительно небольшого количества пользователей, он значительно превзошел ожидания своих создателей. Сегодня в мире насчитывается более 1,5 миллиардов интернет-пользователей и их число постоянно растет по мере того, как технология становится все более доступной.

Преступники тоже заметили эту тенденцию и очень быстро поняли, что совершение преступлений с помощью интернета (теперь это получило название киберпреступления) имеет ряд существенных преимуществ.

Во-первых, киберпреступность не связана с большим риском: поскольку она не имеет геополитических барьеров, правоохранительным органам трудно ловить преступников. Более того, проведение международных расследований и ведение судебных дел стоит больших денег, поэтому такие действия, как правило, предпринимаются только в особых случаях. Во-вторых, киберпреступность - это просто: в интернете предлагается огромное количество «инструкций» по взлому компьютеров и написанию вирусов, при этом каких-либо специальных знаний и опыта не требуется. Вот два основных фактора, превратившие киберпреступность в индустрию, обороты которой исчисляются многими миллиардами долларов и которая представляет собой действительно замкнутую экосистему.

И компании, занимающиеся защитой информации, и производители программного обеспечения ведут постоянную борьбу с киберпреступностью. Их цель – обеспечить интернет-пользователям надежную защиту и создать безопасное программное обеспечение. Злоумышленники в свою очередь постоянно меняют тактику для того, чтобы противодействовать принимаемым контрмерам, что в результате привело к появлению двух выраженных тенденций.

Во-первых, размещение вредоносных программ происходит с использованием zero-day уязвимостей, т.е. уязвимостей, для которых еще не созданы патчи. С помощью таких уязвимостей могут быть заражены даже такие компьютерные системы, на которых установлены все последние обновления, но при этом нет специальных защитных решений. Zero-day уязвимости – ценный товар (их использование потенциально может привести к серьезным последствиям), он продается на черном рынке за десятки тысяч долларов.

Во-вторых, мы наблюдаем резкое увеличение количества вредоносных программ, созданных специально для кражи конфиденциальной информации с целью ее дальнейшей продажи на черном рынке: номеров кредитных карт, банковских реквизитов, паролей доступа на такие сайты, как eBay или PayPal, и даже паролей к онлайн-играм, например, к World of Warcraft.

Одной из очевидных причин такого размаха киберпреступности является ее прибыльность, которая всегда будет являться двигателем в создании новых киберпреступных технологий.

Помимо разработок, которые проводятся для нужд киберпреступников, отметим еще одну тенденцию – распространение вредоносных программ через Всемирную Паутину. После эпидемий начала нынешнего десятилетия, вызванных такими почтовыми червями, как Melissa, многие компании – производители систем информационной защиты сосредоточили свои усилия на разработке решений, которые могли бы нейтрализовать вредоносные вложения. Иногда это приводило к тому, что в сообщениях удалялись все исполняемые вложения.

Однако последнее время основным источником распространения вредоносных программ стала Сеть. Вредоносные программы размещают на веб-сайтах, а затем либо пользователей обманным путем заставляют вручную запускать их, либо эти программы с помощью эксплойтов автоматически исполняются на зараженных компьютерах.

Мы в «Лаборатории Касперского» с растущей тревогой наблюдаем за происходящим.

Статистика

Последние три года мы наблюдали за так называемыми чистыми веб-сайтами (от 100 000 до 300 000), чтобы определить, в какой момент они становились точками распространения вредоносных программ. Количество отслеживаемых сайтов постоянно росло по мере регистрации новых доменов.

В таблице приведен зарегистрированный максимальный показатель зараженности веб-страниц, отслеживаемых в течение года. Очевидно резкое увеличение доли зараженных сайтов: если в 2006 году был заражен примерно каждый сайт из двадцати тысяч, то в 2009 году оказался зараженным уже каждый сайт из ста пятидесяти. Процент зараженных сайтов колеблется в районе этой последней цифры, что может означать достижение точки насыщения: все веб-сайты, которые могли быть инфицированы, были инфицированы. Однако их число возрастает или снижается по мере обнаружения новых уязвимостей или появления новых инструментов, которые позволяют злоумышленникам заражать новые веб-сайты.

В следующих двух таблицах приведены данные по вредоносным программам, которые наиболее часто встречались на сайтах в 2008 и 2009 годах.

10 лидирующих вредоносных программ – 2008 год

10 лидирующих вредоносных программ – 2009 год

В 2008 году троянская программа Trojan-Clicker.JS.Agent.h была обнаружена в большом количестве случаев. За ней с отрывом менее 1% следует Trojan-Downloader.JS.Iframe.oj.

Страница, зараженная Trojan-Clicker.JS.Agent.h

Раскодированный троянец Trojan-Clicker.JS.Agent.h

Trojan-Clicker.JS.Agent.h – это типичный пример механизма, который использовался в 2008 году и все еще используется (в 2009 году) для внедрения вредоносного кода. На страницу добавляется небольшой фрагмент JavaScript кода, который обычно подвергается обфускации для того, чтобы затруднить анализ. В коде, приведенном на рисунке выше, обфускация просто состоит в подмене ASCII-символов, составляющих вредоносный код, их hex-кодами. После расшифровки код, как правило, представляет собой плавающий фрейм (iframe), ведущий на сайт, на котором находятся эксплойты. IP-адрес, на который ведет ссылка, может меняться, поскольку эксплойты размещаются на множестве различных сайтов. На главной странице вредоносного сайта обычно находятся эксплойты для IE, Firefox и Opera. Похожим образом действует и Trojan-Downloader.JS.Iframe.oj – вторая по частоте использования вредоносная программа.

В 2009 году было два интересных случая, когда зловредные программы распространялись через веб-страницы. В первом случае речь идет о зловреде Net-Worm.JS.Aspxor.a, впервые обнаруженном в июле 2008 года и широко распространившемся в 2009 году. Этот зловред при помощи специальной утилиты находит SQL-уязвимости на веб-сайтах, через которые внедряет вредоносные плавающие фреймы.

Другой интересный случай представляет собой вредоносная программа Gumblar. Она была названа по имени китайского домена, который использовала для распространения эксплойтов. Строка “gumblar” в подвергшемся обфускации коде JavaScript, «подброшенном» на веб-сайт, является верным признаком того, что сайт заражен.

Пример внедрения кода Gumblar в страницу веб-сайта

После деобфускации вредоносный код Gumblar выглядит следующим образом:

Декодированный код Gumblar

Домен “gumblar.cn” был закрыт, что, впрочем, не помешало киберпреступникам продолжить вредоносные атаки с новых доменов.

Способы заражения и методы распространения

В настоящее время существует три основных способа заражения сайтов вредоносными программами.

Первый популярный метод – использование уязвимостей самого веб-сайта. Например, внедрение SQL-кода, что позволяет добавить на страницы сайта вредоносный код. Инструменты атаки, такие как троянец ASPXor, наглядно демонстрируют механизм работы этого метода: их можно использовать для массового сканирования и внедрения вредоносного кода по тысячам IP-адресов одновременно. Следы таких атак часто можно видеть в журналах доступа веб-серверов.

Второй метод предполагает заражение компьютера разработчика веб-сайтов вредоносной программой, которая отслеживает создание и загрузку HTML-файлов, а затем внедряет в эти файлы вредоносный код.

Наконец, еще один метод – это заражение троянцем, ворующим пароли (таким как Ransom.Win32.Agent.ey) компьютера разработчика веб-сайтов или другого человека с доступом к учетной записи хостинга. Такой троянец обычно обращается к серверу по HTTP, чтобы передать пароли к учетным записям FTP, которые он собирает из популярных ftp-клиентов, таких как FileZilla и CuteFtp. Компонент вредоносной программы, находящийся на сервере, записывает полученную информацию в базу данных SQL. Затем специальная программа, также находящаяся на сервере, выполняет процедуру входа во все учетные записи FTP, извлекает индексную страницу, добавляет туда код, зараженный троянцем, и загружает страницу обратно.

Поскольку в последнем случае данные учетной записи у хостинг-провайдера становятся известны злоумышленникам, то часто происходят повторные заражения сайтов: разработчики веб-страниц замечают заражение сами или узнают о нем от посетителей сайта, очищают страницу от вредоносного кода, а на следующий день страница вновь оказывается зараженной.

Пример повторного заражения веб-страницы (*.*.148.240)

Другая часто встречающаяся ситуация – когда информация об одной и той же уязвимости или данные учетной записи на хостинге одновременно попадают в руки разных кибергруппировок, между которыми начинается борьба: каждая группа стремится заразить веб-сайт своей вредоносной программой. Вот пример такой ситуации:

Пример многократного заражения веб-сайта (*.*.176.6) разными вредоносными программами

11.06.2009 веб-сайт, за которым мы наблюдали, был чист. 05.07.2009 происходит заражение вредоносной программой Trojan-Clicker.JS.Agent.gk. 15.07.2009 веб-сайт оказывается зараженным другим зловредом, Trojan-Downloader.JS.Iframe.bin. Через десять дней, сайт заражен еще одной программой.

Такая ситуация встречается довольно часто: веб-сайты могут быть заражены одновременно разными вредоносными программами, код которых размещается один за другим. Такое происходит, когда данные доступа попадают в руки разных кибергруппировок.

Ниже приводится последовательность действий, которые необходимо совершить в случае, если веб-сайт заражен вредоносным кодом:

• Установить, кто имеет доступ на хостинг-сервер. Запустить проверку их компьютеров программой интернет-безопасности с актуальной базой данных. Удалить все обнаруженные вредоносные программы
• Установить новый надежный хостинг-пароль. Надежный пароль должен состоять из символов, цифр и спецсимволов, чтобы усложнить его подбор
• Заменить все зараженные файлы чистыми копиями
• Найти все резервные копии, которые могут содержать зараженные файлы, и вылечить их

Наш опыт показывает, что зараженные веб-сайты после лечения нередко подвергаются повторному заражению. С другой стороны, обычно это происходит лишь один раз: если после первого заражения веб-мастер может ограничиться относительно поверхностными действиями, в случае повторного заражения он обычно принимает более серьезные меры по обеспечению безопасности сайта.

Эволюция: размещение вредоносных программ на «чистых» веб-сайтах

Пару лет назад, когда киберпреступники стали активно использовать web для размещения вредоносных программ, они как правило действовали через так называемый абузоустойчивый хостинг или через хостинг, где они расплачивались крадеными кредитными картами. Заметив эту тенденцию, компании, работающие в области интернет-безопасности, объединили свои усилия в борьбе против недобросовестных хостинг-провайдеров, допускающих размещение вредоносных ресурсов (таких, как американский хостинг-провайдер McColo и эстонский провайдер EstDomains. И хотя сегодня еще встречаются случаи, когда вредоносные программы размещаются именно на вредоносных сайтах, расположенных, например, в Китае, где закрыть сайт по-прежнему сложно, произошел важный поворот в сторону размещения вредоносных программ на «чистых» и вполне заслуживающих доверия доменах.

Действие и противодействие

Как мы уже говорили, одним из важнейших аспектов постоянной борьбы между киберпреступниками и производителями антивирусных решений является умение быстро реагировать на то, что делает противник. Обе стороны постоянно меняют тактику борьбы и вводят в строй новые технологии, стараясь противодействовать противнику.

Большинство веб-браузеров (Firefox 3.5, Chrome 2.0 и Internet Explorer 8.0) теперь имеют встроенную защиту в виде URL-фильтра. Этот фильтр не позволяет пользователю заходить на вредоносные сайты, содержащие эксплойты для известных или неизвестных уязвимостей, а также использующие методы социальной инженерии для кражи личных данных.

Например, Firefox и Chrome используют Google Safe Browsing API, бесплатный сервис от Google для фильтрации URL-адресов. В момент написания список Google Safe Browsing API содержал около 300 000 адресов известных вредоносных веб-сайтов и более 20 000 адресов веб-сайтов, занимающихся фишингом.

Google Safe Browsing API придерживается рационального подхода к фильтрации URL-адресов: вместо того чтобы отсылать каждый URL-адрес на внешний ресурс для проверки, как это делает фишинг-фильтр в Internet Explorer 8, Google Safe Browsing проверяет URL-адреса по их контрольным суммам, вычисленным по алгоритму MD5. Чтобы такой метод фильтрации был эффективным, список контрольных сумм вредоносных адресов должен регулярно обновляться; обновления рекомендуется выполнять каждые 30 минут. Недостаток этого метода заключается в следующем: количество вредоносных веб-сайтов больше, чем количество входов в списке. Для оптимизации размера списка (сейчас он составляет около 12 МБ), туда попадают только наиболее часто встречающиеся вредоносные сайты. Это означает, что даже если вы используете приложения, поддерживающие подобные технологии, ваш компьютер по-прежнему подвергается риску заражения при посещении вредоносных сайтов, не попавших в список. В общем и целом широкое применение технологий для безопасной навигации показывает, что разработчики веб-браузеров обратили внимание на новую тенденцию распространения зловредных программ через веб-сайты и предпринимают ответные действия. По сути, веб-браузеры со встроенной защитой уже становятся нормой.

Заключение

За последние три года резко увеличилось число легитимных веб-сайтов, зараженных вредоносными программами. Сегодня количество зараженных сайтов в интернете в сто раз больше, чем три года назад. Часто посещаемые сайты привлекательны для киберпреступников, поскольку с их помощью за короткое время можно заразить большое количество компьютеров.

Веб-мастерам можно предложить несколько простых советов по поводу того, как обезопасить веб-сайты:

• Защищайте учетные записи хостинга надежными паролями
• Для загрузки файлов на серверы используйте протоколы SCP/SSH/SFTP вместо FTP – таким образом вы защититесь от пересылки паролей по интернету открытым текстом
• Установите антивирусный продукт и запустите проверку компьютера
• Имейте в запасе несколько резервных копий сайта, чтобы иметь возможность восстановить его в случае заражения.

При навигации в интернете есть несколько факторов, увеличивающих риск заражения вредоносным кодом с веб-сайта: использование пиратского ПО, игнорирование обновлений, закрывающих уязвимости в используемом ПО, отсутствие на компьютере антивирусного решения и общее незнание или неполное понимание угроз в интернете.

Пиратские программы играют значительную роль в распространении вредоносных программ. Пиратские копии Microsoft Windows, как правило, не поддерживают автоматические обновления, выпускаемые компанией Microsoft,что дает киберпреступникам возможность эксплуатировать незакрытые уязвимости в этих продуктах.

Кроме того, старые версии Internet Explorer, по-прежнему самого популярного браузера, имеют большое количество уязвимостей. В большинстве случаев Internet Explorer 6.0 без установленных обновлений незащищен от вредоносного воздействия любого вредоносного веб-сайта. В силу этого, крайне важно избегать использования пиратского ПО, особенно пиратских копий Windows.

Еще один фактор риска – работа на компьютере без установленной антивирусной программы. Даже если в самой системе установлены последние обновления, в нее может проникнуть вредоносный код через zero-day уязвимости в стороннем ПО. Обновления антивирусных программ обычно выпускаются гораздо чаще, чем патчи к программным продуктам, и обеспечивают безопасность системы в период, когда к уязвимостям в стороннем ПО еще не выпущены исправления.

И хотя для поддержания необходимого уровня безопасности важна установка обновлений для программ, немаловажную роль играет и человеческий фактор. Например, пользователь может захотеть посмотреть «интересный видеоролик», загруженный из Сети, не подозревая, что вместо ролика ему подкинули вредоносную программу. Такая уловка нередко используется на вредоносных сайтах в случае, если эксплойтам не удается проникнуть в операционную систему. Этот пример показывает, почему пользователи должны знать, какую опасность представляют интернет-угрозы, особенно те, которые связаны с социальными сетями (Web 2.0), последнее время активно атакуемыми киберпреступниками.

• Не загружайте пиратские программы
• Вовремя обновляйте все ПО: операционную систему, веб-браузеры, программы для просмотра PDF-файлов, плееры и т.д.
• Установите и всегда используйте антивирусный продукт, такой как Kaspersky Internet Security 2010
• Возьмите за правило, чтобы ваши сотрудники каждый месяц уделяли несколько часов изучению веб-сайтов, посвященных безопасности, таких как www.viruslist.com , где они смогут узнать об интернет-угрозах и методах защиты.

Наконец, помните: предупредить заражение легче, чем вылечить. Принимайте меры безопасности!

Is short for "Malicious Software". It is a term generally used for software installed on your computer that is designed to infiltrate or damage a computer system without the owner"s informed consent. Sometimes a problem with Firefox may be a result of malware installed on your computer, that you may not be aware of. This article describes what common symptoms are and how to prevent malware from being installed and get rid of them.

Table of Contents

How do I know that my Firefox problem is a result of malware?

Symptoms are various and depend on the malware but if you have one or several of these behaviors, you may have malware installed on your computer.

• Some ad popups display all the time , although you"ve blocked popups. For more information on blocking popups, see .
• Your searches are redirected to another site in order to feed you content from that website and you are being disallowed from blocking them. For more information, see What to do when searches take you to the wrong search website .
• Your home page has been hijacked . For more information on setting your home page, see How to set the home page .
• Firefox never finishes loading or can"t load certain websites . For more information, see Websites show a spinning wheel and never finish loading and Firefox cannot load certain websites .
• Firefox crashes or hangs a lot. For more information, see Firefox crashes - Troubleshoot, prevent and get help fixing crashes and Firefox hangs or is not responding - How to fix .
• Firefox does not start . For more information, see Firefox won"t start - find solutions .
• Problems with connecting to Facebook . For more information on problems with Facebook, see Fix problems with Facebook games, chat and more .
• Firefox keeps opening many tabs or windows . For more information, see Firefox repeatedly opens empty tabs or windows after you click on a link .
• Unwanted toolbars have been installed . For more information on customizing Firefox, see Remove a toolbar that has taken over your Firefox search or home page and How to remove the Babylon toolbar, home page and search engine .

How do I prevent malware from being installed?

There are simple rules to follow in order to prevent malware from being installed on your computer:

• Keep your operating system and other software updated: Installation of malicious software usually takes advantage of known security vulnerabilities in other programs, which may have been patched in later versions. Make sure you are using the latest version of all software you use, either by enabling the software"s automatic update feature, if available, or by checking for updates from the software provider and by using the Windows Update feature .
• Don"t install untrusted software: Some websites offer you software to accelerate your browser, to help you search the Web, to add toolbars that make things Firefox already does. Some unwanted programs also come bundled in software packages. Usually, these programs gather information on your browsing behavior that serve only people who designed them and interfere with Firefox. Make sure you install add-ons from Mozilla"s add-on website and you uncheck unwanted programs in software wizards. Check to see if you have unwanted add-ons and disable or remove them .
• Don"t click inside misleading pop-up windows: Many malicious websites try to install malware on your system by making images look like pop-up windows, or displaying an animation of the website scanning your computer. For more information on detecting a misleading pop-up, see Pop-up blocker settings, exceptions and troubleshooting .
• Don"t run a fake Firefox: Download Firefox from mozilla.org/firefox .

• Run anti-virus and anti-spyware real-time protection and scan your system periodically. Make sure your anti-virus and anti-spyware real-time protection is enabled. Scan your computer at least every month.

How do I get rid of malware?

The Wikipedia article Linux malware has information and recommendations for Linux users.

How do I get rid of malware?

Microsoft has basic free anti-virus and anti-spyware security software built-in on Windows 8 and Windows 10 for Windows 7 (see What is Microsoft Security Essentials?) . If your security software hasn"t detected malware, scan your system with the free malware scanning programs listed below. You should scan with all programs because each program detects different malware and make sure that you update each program to get the latest version of their databases before doing a scan.

Warning: Anti-virus and anti-spyware software may sometimes generate false positives. Consider quarantining suspicious files rather than deleting them.