Google изучает распространение вредоносного ПО в Сети

19.02.2008 03:31

В течение полутора лет, компания Google отслеживала ссылки на страницы с вредоносным ПО и недавно решила опубликовать данные своего исследования. Доклад готов и находится в стадии согласования с экспертами, однако компания Google выпустила краткий технический обзор, перевод которого OpenNews и предлагает вашему вниманию.

За полтора года мы проанализировали несколько миллиардов ссылок и обнаружили более 3 миллионов уникальных, ведущих на страницы с вредоносным ПО. Всего мы насчитали более 180 тысяч web-серверов, при посещении которых происходила несанкционированная установка вредоносного ПО на уязвимые компьютеры. В ходе нашего исследования мы изучили не только масштабы, но и способы заражения и дальнейшего распространения.

За последние несколько месяцев более одного процента всех ссылок, выдаваемых Google в ответ на поисковые запросы, указывали на вредоносные сайты и существует тенденция к росту этого показателя.

Для того, чтобы разобраться насколько распространение вредоносного ПО зависит от безопасности web-серверов, мы проанализировали номера версий программ на тех серверах, где обнаружили вредоносные страницы. Особенно мы обращали внимание на версии Apache и PHP, получаемые как часть ответа сервера. Мы обнаружили, что в 38% случаев версии были устаревшие, что повышало риск удаленного внедрения контента на эти сервера.

В нашем документе «Ghost In the Browser» («Призрак в браузере») мы особо подчеркнули, что сторонний контент является одним из потенциальных источников вредоносного содержания. Сегодня много стороннего контента принадлежит рекламе. Чтобы оценить в какой мере реклама содействует распространению инфекции, мы проанализировали всю цепочку, т.е. все промежуточные ссылки вплоть до достижения загрузки вредоносного контента. Мы исследовали около 2000 известных рекламных сетей и обнаружили, что около 2% вредоносных сайтов были инфицированы через рекламные сети. Основная проблема заключается в том, что часто рекламное место предоставляется неизвестным лицам. Поэтому все рекламные сети, практикующие т.н. синдикацию, должны внимательно изучить эту проблему. Наш технический отчет содержит более детализированную информацию, включая анализ, основанный на популярности web-сайтов.

Наконец, мы исследовали структурные свойства распространения вредоносного ПО. На некоторые инфицированные сайты ссылалось до 21 тысячи обычных сайтов. Кроме этого, мы обнаружили, что большинство вредоносных сайтов географически размещены в Китае.

Мы надеемся, что наши исследования помогут лучше понять проблемы вредоносного программного обеспечения в будущем и позволят нам защитить пользователей всего Интернета от вредоносных сайтов. Ясно одно — впереди у нас много работы.

исправить +/–

Автор новости: specialm

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/14291-security

Ключевые слова: security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (17)

1.1, RNZ (ok), 09:45, 19/02/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Прям как Ghost In the Shell 8) Надо будет почитать...

1.2, devzero (??), 10:07, 19/02/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
На то, в общем-то, и намек, по-моему

2.3, Антон (??), 10:37, 19/02/2008 [^] [^^] [^^^] [ответить]	+/–
У нас даже биллинг в районной сети затроянили :-)

3.6, pavlinux (ok), 12:37, 19/02/2008 [^] [^^] [^^^] [ответить]	+/–
Сам-то понял что сказал? :)

4.8, Антон (??), 13:21, 19/02/2008 [^] [^^] [^^^] [ответить]	+/–
>Сам-то понял что сказал? :) На странице просмотра статистики в биллинге был обнаружен стандартный iframe троян, который пароли собирает.

1.7, chesnok (ok), 13:18, 19/02/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
если у кого-то запущен "внешний мир" ssh - то многие замечали, как непрырывно боты пытаются подобрать пароль - да это глупости, но 90% таких ботов живут в китае - бороться сними не возможно совершенно точно Все это говорит, о том, что в сети нет обособленного контроля и каких-то законов, а бороться нужно не только с вредоносным ПО, но и запрещенным контентом и т.д. Вы же знаете, господа, которые седят в думе планируют принять закон, который будет "регулироть что-то в Интернет", но из всего комитета или рабочей группы никто не имеет представляения о сути... так вот и живем

1.9, Oles (?), 16:12, 19/02/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"Вредоносное ПО" существует во многом благодаря дырявости Windows и кривости SMTP. Это ПО - следствие других проблем.

2.21, Michael Shigorin (ok), 14:01, 20/02/2008 [^] [^^] [^^^] [ответить]	+/–
Да, но IMHO также благодаря отсутствию совести у делавших первое и абьюзающих второе.

2.11, www2 (??), 18:55, 19/02/2008 [^] [^^] [^^^] [ответить]

+/–

Не могу не отметить, что высказывание оратора (Oles) не лишено некторого смысла.

Главный недостаток SMTP - отсутствие какой-либо аутентификации: в нём кроме IP отправителя и адреса адресата нет никакой достоверной информации, что позволяет слать спам.

Недостаток Windows в том, что изначально она была однопользовательской и многие программы писались в расчёте на это свойство. Когда же на неё навесили систему безопасности, многие программы просто перестали работать с правами обычного пользователя. Из-за этого до сих пор большинство пользователей работает с правами администратора, что отрицательно сказывается на безопасности.

Хотя, безусловно, эти два обстоятельства не позволяют говорить о том, что отказ от использования Windows и SMTP сразу сделает мир ИТ безопаснее.

Но и Вам я бы не советовал кидаться на каждого, кто сказал что-то, что Вам не нравится, со словами "больного человека", "ограниченность и ущербность".

2.22, Michael Shigorin (ok), 14:04, 20/02/2008 [^] [^^] [^^^] [ответить]

+/–

> А причем здесь Windows или SMTP это наивные утверждения - больного человека.

Вот Ваше, chesnok, уже кем-то из модераторов потёртое сообщение ниже про Украину как раз и выказывает больного человека.

Чего про don_oles@ сказать не могу.

Думайте, прежде чем жать на кнопки. Если больно не то место, коим это принято делать.

1.12, Анонимоуз (?), 20:29, 19/02/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Сходу прочитал как "Google НАЧИНАЕТ распространение вредоносного ПО в Сети" аж испугался:) с их-то масштабами :)

2.13, Yes (?), 20:41, 19/02/2008 [^] [^^] [^^^] [ответить]	+/–
>аж испугался:) с их-то масштабами :) Чего пугаться-то, мс-капец моментально и почти %) безболезненно.

1.14, prapor (??), 23:45, 19/02/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Доизучались до того, что абсолютно нормальные сайты у них помечены как "могут нанести вред Вашему компьютеру".

1.15, Аноним (15), 00:59, 20/02/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>>Главный недостаток SMTP - отсутствие какой-либо аутентификации: в нём кроме IP отправителя и адреса адресата нет никакой достоверной информации, что позволяет слать спам. Вот интересно, как же это у меня на сервере только авторизованные клиенты почту посылают....

2.17, raul (?), 05:39, 20/02/2008 [^] [^^] [^^^] [ответить]	+/–
>>>Главный недостаток SMTP - отсутствие какой-либо аутентификации: в нём кроме IP отправителя и адреса адресата нет никакой достоверной информации, что позволяет слать спам. > >Вот интересно, как же это у меня на сервере только авторизованные клиенты >почту посылают.... Не уж то. Удивлён! А как вы авторизируете входящую почту к внешних сайтов вашим пользователям? Её же тоже на ваш сервер посылают.

2.18, GateKeeper (??), 11:00, 20/02/2008 [^] [^^] [^^^] [ответить]	+/–
>>>Главный недостаток SMTP - отсутствие какой-либо аутентификации: в нём кроме IP отправителя и адреса адресата нет никакой достоверной информации, что позволяет слать спам. > >Вот интересно, как же это у меня на сервере только авторизованные клиенты >почту посылают.... Смею предположить, что сервер этот на localhost и почта там ходит от daemon@, cron@ к root@. Так?

2.23, ln (?), 21:17, 24/02/2008 [^] [^^] [^^^] [ответить]	+/–
>>>Главный недостаток SMTP - отсутствие какой-либо аутентификации: в нём кроме IP отправителя и адреса адресата нет никакой достоверной информации, что позволяет слать спам. > >Вот интересно, как же это у меня на сервере только авторизованные клиенты >почту посылают.... разберитесь, пожалуйста, в SMTP, прежде чем такие заявления делать.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: