Могут ли быть вирусы в поисковиках

Обновлено: 23.04.2024

Эта статья написана не для разработчиков, а для владельцев сайтов. Простым языком мы расскажем, что может сделать с завирусованным сайтом человек, ничего не понимающий в веб-программировании.

Как происходит заражение сайта вирусами

1 Самая распространенная причина заражения сайта - неосторожность самого владельца. Люди очень часто сохраняют пароли от админки сайта в браузере. И если их компьютер завирусован, зловредная программа крадет пароль из браузера и отправляет его злоумышленнику. Тот заходит в админку вашего сайта и внедряет в код вирусы, которые моментально заражают все файлы. Обычно это происходит автоматически, с помощью специальных ботов. Т.е. у злоумышленника есть программы, которые на автопилоте, круглые сутки, заражают тысячи сайтов.

2 Вторая по распространенности причина - криворукие разработчики. Они еще во время выгрузки сайта на сервер могут его скомпрометировать (т.е. пароли от сайта могут быть украдены с их компьютера).

Например, пароли у разработчиков часто умыкают из их FTP-менеджеров - программ, с помощью которых сайт размещается на сервере.

В итоге будет все то же самое, что в предыдущем пункте.
Либо, как вариант, разработчик может установить на сайт какое-нибудь “дырявое” приложение, которое открывает “ворота” на сервер для вирусов.

3 Еще одна причина - некачественная система управления сайтом (CMS). Уязвимости в системе управления могут позволить злоумышленникам заразить сайт вирусами, украсть ваши данные, или вообще украсть сам сайт. Уязвимости иногда находят даже в очень известных и уважаемых движках. Чего уж говорить о самописных, никому не известных CMS.

4 Плохой хостинг-провайдер с некачественным программным обеспечением на серверах. Сегодня это встречается достаточно редко, но такой вариант возможен. Если хостинг-провайдер допустит уязвимость на своих серверах, это может привести к заражению расположенных там сайтов.

Кто и зачем заражает сайты вирусами?

Мы не будем рассматривать случаи взлома каких-то крупных порталов или соц.сетей. Поговорим об обычных сайтах, принадлежащих салонам красоты, юридическим компаниям, строительным фирмам и тому подобных. Кому нужно заражать их?

Чаще всего владельцы небольших сайтов грешат на конкурентов - мол, те решили насолить им и заразили их сайт. Но в 99,99% случаев это не так. Слишком сложно и дорого заказывать взлом одного конкретного сайта. Сайты заражают тысячами одновременно и делают это люди, которые зарабатывают на распространении вирусов, рекламе, размещении ссылок.

Про гарантии на сайты - вся правда

Вся правда о гарантиях на сайтыПодробно рассказываем о том, какие бывают гарантии на сайты, когда они действуют и что делать, если разработчик не хочет выполнять свои обязательства

Т.е., если вкратце, выглядеть это может примерно так. Есть человек, который получил скрытый доступ к тысячам завирусованных компьютеров (он мог купить эту сеть у другого хакера, либо создать ее самостоятельно с помощью различных ухищрений). Затем с зараженных компьютеров воруются пароли и логины доступа к панелям управления веб-ресурсами. Эти данные передаются в специальную программу, которая массово взламывает все сайты, пароли от которых у нее есть. Их может быть сотни, тысячи, десятки тысяч. На сайты загружается вредоносный код и модифицирует файлы. Теперь у хакера есть огромная сетка взломанных сайтов, которые находятся полностью под его управлением (пока владельцы не заметят и не удалят вирусы). Ну а дальше:

  • Он может разместить на взломанных сайтах какой-нибудь вирус, который будет заражать компьютеры посетителей
  • Либо вирус, который будет воровать деньги с карточек, блокировать телефоны и компьютеры
  • Либо, что очень часто бывает - вирус будет воровать аккаунты в соц.сетях (наверняка, у вас были случаи, когда какой-нибудь знакомый, с которым вы не общались десять лет, пишет вам в соцсети и просит деньги взаймы, а потом выясняется, что его взломали - вот это как раз тот случай).
  • Или же хакер может разместить на зараженных сайтах рекламу какой-нибудь ерунды и получать за это деньги
  • Либо он может рекламировать свои сайты через размещение ссылок в сетке зараженных ресурсов
  • Либо он может продать эту сетку зараженных сайтов другому такому же хакеру, которому лень самому взламывать сайты, но сетка нужна.
  • Есть еще куча других вариантов. Была бы сетка зараженных сайтов, а уж как ее использовать - всегда можно придумать.

Итак, ваш сайт заражен - что делать? Как удалить с него вирусы?

Эта инструкция будет очень полезна для обычных владельцев сайтов. Но если вы разработчик - вряд ли вы найдете здесь что-то новое.

1 Первое, что нужно понять - действовать надо быстро, очень быстро. Вирусы надо успеть удалить до того, как их заметят поисковики и антивирусы. Если Гугл или Яндекс обнаружат на вашем сайте вирусы, они пометят его в поиске, как небезопасный. А для себя поставят галочку, что эта страница плохого качества. Это очень негативно отразится на общем рейтинге вашего сайта в поисковых системах.
Кроме того, если вирусы на сайте заметит какой-нибудь антивирус Касперского, он добавит адрес вашего сайта в свою базу и вообще перестанет пускать туда посетителей. Поэтому торопитесь, если не хотите растерять 90% посетителей.

2 Перво-наперво обратитесь к тем, кто делал сайт. Они знают ваш сайт вдоль и поперек, у них должны сохраниться копии сайта в первозданном виде. Если они толковые ребята, скорее всего все проблемы будут решены за один день.

3 Если с разработчиком договориться не получается, обратитесь к хостинг-провайдеру (организации, которой вы платите за сервер, на котором лежит сайт). Часто они за небольшую плату предоставляют услуги по излечению сайта от вирусов. Стоит это везде по-разному - в среднем, 5-10 тысяч рублей (по ценам 2019 года).

4 Если и это не помогло, найдите организацию, которая занимается удалением вирусов с сайтов.

5 Кроме самого излечения от вирусов желательно понять, что к этому привело. Не способствовали ли этому какие-то ошибки в самом сайте, дыры в его безопасности? Спросите об этом тех, кто будет удалять с сайта вирусы. Желательно сразу сделать все возможное, чтобы предотвратить подобное в будущем.

Что делать, если поисковики и антивирусы блокируют ваш сайт?

Разработка seo-сайтов

Разработка seo-сайтов с пожизненной гарантиейСоздаем невероятные SEO-сайты, оптимизированные по 69 параметрам уже на этапе разработки

Как защитить ваш сайт от вирусов в будущем

  • Первое и самое главное - установите на компьютер, с которого заходите в админку сайта, хороший антивирус. Не бесплатный, а хороший платный антивирус. Если ваш сайт администрирует кто-то еще, там тоже должен стоять хороший антивирус.
  • Никогда не сохраняйте пароли в браузере. Храните их в отдельном файле.
  • Используйте сложные пароли - они должны состоять из цифр, букв в разных РЕГИСТРАХ, и знаков. Состоять пароль должен как минимум из 7 знаков, а лучше из 10 и больше.
  • Не используйте стандартные логины. Никаких “admin”, “administrator” и тому подобных.
  • Желательно периодически менять пароль. А если вы передаете его кому-то другому, то обязательно меняйте его после того, как тому человеку он будет больше не нужен.
  • Используйте хорошие, проверенные, максимально распространенные системы управления контентом. Это не защитит ваш сайт на 100%, но сведет к минимуму вероятность его взлома.
  • Доверяйте разработку сайта проверенным, хорошим разработчикам (например, нам:) ). Очень большой процент взломов происходит именно по вине некомпетентных разработчиков.
  • Хостинг-провайдера нужно выбирать крупного, проверенного, с хорошим рейтингом. Мы рекомендуем Бегет - очень хороший хостинг с расторопной техподдержкой. Найти что-то лучше будет очень сложно.

Нужен настоящий SEO-сайт и интернет-реклама ? Пишите, звоните:

Когда-то для того, чтобы переписываться с друзьями, слушать музыку или смотреть кино, требовались отдельные программы. Сейчас большинство задач можно решить в браузере. Чем больше данных люди передают через браузер, тем больший интерес он представляет для злоумышленников. Вмешаться в работу браузера можно разными способами. Один из них — вредоносные браузерные расширения.

Что такое расширения

Расширения — это программы-модули, которые подключаются к браузеру и расширяют (отсюда и название) его возможности. С их помощью каждый может добавить в браузер те функции, которые нужны именно ему: например, блокировку неприятной рекламы, автоматический перевод текста на веб-страницах, ночной режим просмотра сайтов или экранную клавиатуру с эмодзи.

В чём опасность

Расширения привлекают злоумышленников по нескольким причинам. Во-первых, у них широкие полномочия. Расширения имеют доступ к данным, которыми обмениваются пользователь и сайт, могут влиять на отображение страниц и менять интерфейс браузера: добавлять новые кнопки, панели или закладки. Во-вторых, расширения живут внутри браузера: их установка никак не сказывается на операционной системе компьютера. Поэтому если с расширением что-то не так, вовсе не факт, что на это отреагирует обычная система антивирусной защиты.

Расширения, созданные злоумышленниками, проявляют себя по-разному. Иногда их действия просто неприятны, а иногда представляют непосредственную угрозу для пользователя. Самое распространённое поведение — это:

Подмена контента. Расширение изменяет содержимое веб-страницы. Злоумышленники могут заменить баннеры на популярных ресурсах или добавить на сайт дополнительные рекламные блоки — на этом можно неплохо заработать.

Вторжение в интерфейс браузера. Расширение изменяет главную страницу или добавляет в закладки сайты, на которых человек никогда не был. Таким способом недобросовестные разработчики накручивают посещаемость своих ресурсов.

Слежка. Расширение собирает данные о действиях человека: например, на какие страницы он заходит. Эту информацию можно использовать для показа рекламы. Некоторые расширения перехватывают данные из форм на веб-страницах.

Активность в соцсетях. Расширение публикует посты от имени пользователя или ставит лайки под сомнительными публикациями. Зачастую жертва не замечает этого, пока ей не сообщают внимательные друзья. Не очень внимательные переходят по ссылкам в постах и тоже становятся распространителями спама.

Расширения могут выполнять сразу несколько нежелательных действий сразу. Некоторые умеют менять поведение, подчиняясь командам, которые отдают злоумышленники. Например, сегодня такое расширение может накручивать клики по рекламным объявлениям мошенников, а завтра — собирать данные о пользователях.

Распространение

Полезные расширения распространяются через магазины. Так называют каталоги, где собраны расширения от разных разработчиков. Как правило, каталогом управляет компания, выпустившая браузер. У магазинов есть системы проверки, которые блокируют нежелательные и вредоносные расширения. Поэтому мошенники продвигают свои программы окольными путями — например:

Иногда в комплекте с загружаемым файлом идёт программа-установщик. Она протаскивает в браузер целый набор нежелательных расширений. Избавиться от них трудно — после удаления и перезагрузки компьютера они появляются снова.

В нагрузку к полезному контенту мошенники дают не только расширения и установщики, но и другой нежелательный и даже опасный софт: трояны, приложения для накрутки кликов, программы для доставки рекламы.

Яндекс.Браузер умеет предупреждать пользователей о сайтах, распространяющих нежелательные программы. Предупреждение показывается заранее — до того, как компьютеру может быть нанесён вред. В 2016 году Браузер выдал 137 млн предупреждений, которые увидели более 15 млн человек.

Обманом — нежелательная программа выдаётся за полезную. В таких случаях мошенники утверждают, что их софт предоставляет пользователю ту или иную нужную возможность. Здесь возможны варианты: либо в дополнение к полезной функции программа обладает одной или несколькими неполезными, либо расширение даже не пытается делать то, что было обещано в описании.

Подобные программы часто распространяют через соцсети. Например, человек натыкается в Facebook на ролик с ярким описанием, но при попытке запустить видео ему говорят, что для просмотра нужен специальный видеоплеер.

Шантажом — пользователя вынуждают поставить расширение. Человек попадает на мошеннический сайт и не может его покинуть. При попытке закрыть вкладку ему сообщают, что это можно сделать только после установки дополнительной программы. Понятно, что от неё не стоит ждать ничего хорошего.

Как защитить себя

Расширения — часть экосистемы браузера. Многие из них сильно упрощают жизнь, поэтому отказываться от расширений только из-за риска встретить злоумышленников не стоит. Чтобы обезопасить пользователей от нежелательных программ, в Яндекс.Браузере предусмотрено несколько механизмов защиты. Все они — часть комплексной системы Protect, встроенной в Браузер.

Во-вторых, Браузер проверяет все файлы, которые загружает пользователь. Проверка выполняется в момент, когда файл загружен, но ещё не начал исполняться. Браузер изучает файл и его происхождение и выявляет характерные для него свойства — у каждого файла их более двухсот. Эти свойства анализирует система безопасности, основанная на машинном обучении. Она делает вывод о том, опасен файл или нет. Если есть угроза, файл блокируется. Каждый месяц через систему проходят более пяти миллионов уникальных файлов.


Поговорим о компьютерных вирусах? Нет, не о том, что вчера поймал ваш антивирус. Не о том, что вы скачали под видом инсталлятора очередного Photoshop. Не о rootkit-e, который стоит на вашем сервере, маскируясь под системный процесс. Не о поисковых барах, downloader-ах и другой малвари. Не о коде, который делает плохие вещи от вашего имени и хочет ваши деньги. Нет, всё это коммерция, никакой романтики…

В общем, для статьи вполне достаточно лирики, перейдем к делу. Я хочу рассказать о классическом вирусе, его структуре, основных понятиях, методах детектирования и алгоритмах, которые используются обеими сторонами для победы.

Мы будем говорить о вирусах, живущих в исполняемых файлах форматов PE и ELF, то есть о вирусах, тело которых представляет собой исполняемый код для платформы x86. Кроме того, пусть наш вирус не будет уничтожать исходный файл, полностью сохраняя его работоспособность и корректно инфицируя любой подходящий исполняемый файл. Да, ломать гораздо проще, но мы же договорились говорить о правильных вирусах, да? Чтобы материал был актуальным, я не буду тратить время на рассмотрение инфекторов старого формата COM, хотя именно на нем были обкатаны первые продвинутые техники работы с исполняемым кодом.

Начнём со свойств кода вируса. Чтобы код удобней было внедрять, разделять код и данные не хочется, поэтому обычно используется интеграция данных прямо в исполняемый код. Ну, например, так:


Все эти варианты кода при определенных условиях можно просто скопировать в память и сделать JMP на первую инструкцию. Правильно написав такой код, позаботившись о правильных смещениях, системных вызовах, чистоте стека до и после исполнения, и т.д., его можно внедрять внутрь буфера с чужим кодом.

  • Куда положить вирус? Необходимо найти достаточно места, чтобы вирус туда поместился, записать его туда, по возможности не разломав файл и так, чтобы в области, в которой вирус окажется, было разрешено исполнение кода.
  • Как передать управление на вирус? Просто положить вирус в файл недостаточно, надо еще совершить переход на его тело, а после завершения его работы вернуть управление программе-жертве. Или в другом порядке, но, в любом случае, мы же договорились не ломать ничего, да?

Исполняемый файл (PE или ELF) состоит из заголовка и набора секций. Секции – это выровненные (см. ниже) буферы с кодом или данными. При запуске файла секции копируются в память и под них выделяется память, причем совсем необязательно того объёма, который они занимали на диске. Заголовок содержит разметку секций, и сообщает загрузчику, как расположены секции в файле, когда он лежит на диске, и каким образом необходимо расположить их в памяти перед тем, как передать управление коду внутри файла. Для нас интересны три ключевых параметра для каждой секции, это psize, vsize, и flags. Psize (physical size) представляет собой размер секции на диске. Vsize (virtual size) – размер секции в памяти после загрузки файла. Flags – атрибуты секции (rwx). Psize и Vsize могут существенно различаться, например, если программист объявил в программе массив в миллион элементов, но собирается заполнять его в процессе исполнения, компилятор не увеличит psize (на диске содержимое массива хранить до запуска не нужно), а вот vsize увеличит на миллион чего-то там (в runtime для массива должно быть выделено достаточно памяти).

Флаги (атрибуты доступа) будут присвоены страницам памяти, в которые секция будет отображена. Например, секция с исполняемым кодом будет иметь атрибуты r_x (read, execute), а секция данных атрибуты rw_ (read,write). Процессор, попытавшись исполнить код на странице без флага исполнения, сгенерирует исключение, то же касается попытки записи на страницу без атрибута w, поэтому, размещая код вируса, вирмейкер должен учитывать атрибуты страниц памяти, в которых будет располагаться код вируса. Стандартные секции неинициализированных данных (например, область стека программы) до недавнего времени имели атрибуты rwx (read, write, execute), что позволяло копировать код прямо в стек и исполнять его там. Сейчас это считается немодным и небезопасным, и в последних операционных системах область стека предназначена только для данных. Разумеется, программа может и сама изменить атрибуты страницы памяти в runtime, но это усложняет реализацию.

Также, в заголовке лежит Entry Point — адрес первой инструкции, с которой начинается исполнение файла.

Необходимо упомянуть и о таком важном для вирмейкеров свойстве исполняемых файлов, как выравнивание. Для того чтобы файл оптимально читался с диска и отображался в память, секции в исполняемых файлах выровнены по границам, кратным степеням двойки, а свободное место, оставшееся от выравнивания (padding) заполнено чем-нибудь на усмотрение компилятора. Например, логично выравнивать секции по размеру страницы памяти – тогда ее удобно целиком копировать в память и назначать атрибуты. Даже вспоминать не буду про все эти выравнивания, везде, где лежит мало-мальски стандартный кусок данных или кода, его выравнивают (любой программист знает, что в километре ровно 1024 метра). Ну а описание стандартов Portable Executable (PE) и Executable Linux Format (ELF) для работающего с методами защиты исполняемого кода – это настольные книжки.

  • поставить указатель точно на начало какой-нибудь инструкции (просто так взять рандомное место в исполняемой секции и начать дизассемблирование с него нельзя, один и тот же байт может быть и опкодом инструкции, и данными)
  • определить длину инструкции (для архитектуры x86 инструкции имеют разные длины)
  • переместить указатель вперед на эту длину. Мы окажемся на начале следующей инструкции.
  • повторять, пока не решим остановиться
  1. Выбираем вкусный исполняемый файл (достаточно толстый, чтобы в него поместилось тело вируса, с нужным распределением секций и т.п.).
  2. Читаем свой код (код тела вируса).
  3. Берем несколько первых инструкций из файла-жертвы.
  4. Дописываем их к коду вируса (сохраняем информацию, необходимую для восстановления работоспособности).
  5. Дописываем к коду вируса переход на инструкцию, продолжающую исполнение кода-жертвы. Таким образом, после исполнения собственного кода вирус корректно исполнит пролог кода-жертвы.
  6. Создаем новую секцию, записываем туда код вируса и правим заголовок.
  7. На место этих первых инструкций кладем переход на код вируса.

Думаю, не надо описывать вам компоненты современного антивируса, все они крутятся вокруг одного функционала – антивирусного детектора. Монитор, проверяющий файлы на лету, сканирование дисков, проверка почтовых вложений, карантин и запоминание уже проверенных файлов – все это обвязка основного детектирующего ядра. Второй ключевой компонент антивируса – пополняемые базы признаков, без которых поддержание антивируса в актуальном состоянии невозможно. Третий, достаточно важный, но заслуживающий отдельного цикла статей компонент – мониторинг системы на предмет подозрительной деятельности.

Итак (рассматриваем классические вирусы), на входе имеем исполняемый файл и один из сотни тысяч потенциальных вирусов в нем. Давайте детектировать. Пусть это кусок исполняемого кода вируса:

  • сокрытие кода самого вируса;
  • сокрытие его точки входа.

Сокрытие точки входа (Entry Point Obscuring) в результате послужило толчком для появления в вирусных движках автоматических дизассемблеров для определения, как минимум, инструкций перехода. Вирус старается скрыть место, с которого происходит переход на его код, используя из файла то, что в итоге приводит к переходу: JMP, CALL, RET всякие, таблицы адресов и т.п. Таким образом, вирус затрудняет указание смещения сигнатуры.

Гораздо более подробно некоторые алгоритмы таких движков и детектора мы посмотрим во второй статье, которую я планирую написать в ближайшее время.

Рассмотренный в статье детектор легко детектирует неполиморфные (мономорфными их назвать, что ли) вирусы. Ну а переход к полиморфным вирусам является отличным поводом, наконец, завершить эту статью, пообещав вернуться к более интересным методам сокрытия исполняемого кода во второй части.

content/ru-ru/images/repository/isc/2017-images/web-img-14.jpg

Сегодня, в информационную эпоху, потеря или кража данных может иметь серьезные последствия. На вашем компьютере может храниться личная информация, которую трудно восстановить или которая может открыть киберпреступникам прямой путь к вашим деньгам.

Потеря данных

Если в результате вредоносной атаки на вашем компьютере удаляются какие-либо данные, последствия зависят от степени ценности этих данных для вас. Если удаленные файлы относительно неважны, атака может вызвать лишь некоторое неудобство. Однако в иных случаях она может привести к потере:

  • архива фотографий;
  • результатов многолетней работы над проектами;
  • важной корреспонденции;
  • важных записей о финансовых транзакциях.

Кража данных

Когда заражение домашнего компьютера ведет к краже важной информации, в результате возможно следующее:

  • серьезное вторжение в вашу личную жизнь;
  • кража средств с вашего банковского счета.

Если данные украдены у коммерческого предприятия, это может привести к попаданию в третьи руки:

  • клиентских баз данных;
  • финансовой информации;
  • технической документации;
  • корпоративных банковских реквизитов.

Как уберечь данные от удаления и кражи

Антивирус жизненно важен для предотвращения заражения ваших компьютеров и мобильных устройств. Однако также следует регулярно делать резервную копию данных, хранящихся на ваших устройствах. Даже если ваши устройства никогда не подвергались заражению вредоносными программами, повреждение жесткого диска или других компонентов может очень сильно осложнить доступ к важной для вас информации. В такой момент вы были бы рады иметь резервные копии своих данных.

Другие статьи и ссылки, связанные с утратой и кражей данных

Под интернет-угрозами здесь мы понимаем вредоносные программы, которые могут представлять опасность во время работы в интернете. Существует ряд интернет-угроз, которые проникают на компьютер пользователя через браузер.

Основным инструментом заражений через браузер являются эксплойты. Они открывают киберпреступникам дорогу для заражения компьютера:

  • если на компьютере не установлен продукт, обеспечивающий защиту от интернет-угроз;
  • если компьютер использует популярную операционную систему или приложение, которое является уязвимым, потому что пользователь не загрузил последние обновления или новое исправление еще не выпущено вендором программного обеспечения.

Приложения и операционные системы, на которые направлены интернет-угрозы

Киберпреступники могут использовать любую уязвимость (в операционной системе или в приложении) для осуществления атаки с помощью эксплойта. Тем не менее, большинство киберпреступников создают веб-угрозы, нацеленные на популярные операционные системы и приложения, в частности:

  • Java
    Поскольку Java установлена более чем на трех миллиардах устройств, работающих под управлением различных операционных систем, для атак с использованием уязвимостей Java на разных платформах и ОС создаются специальные эксплойты.
  • Adobe Reader
    Несмотря на то, что Adobe Reader является мишенью для многих атак, компания Adobe внедрила инструменты для защиты программы от действия эксплойтов, поэтому киберпреступникам все сложнее и сложнее создавать эффективные эксплойты для этого приложения. Однако на протяжении последних 18 месяцев Adobe Reader все еще был популярной мишенью веб-угроз.
  • Windows и Internet Explorer
    Действующие эксплойты по-прежнему используют уязвимости, которые были обнаружены еще в 2010 году, в том числе MS10-042 (в соответствии с Windows Help and Support Center) и MS04-028, которая связана с неправильной обработкой файлов JPEG.
  • Android
    Киберпреступники могут использовать эксплойты для получения прав доступа уровня root. После этого они могут получить практически полный контроль над устройством.

Миллионы веб-атак каждый день

20 самых распространенных вредоносных программ в интернете

Читайте также: