RusCrypto'2009
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

RusCrypto'2009

on

  • 971 views

 

Statistics

Views

Total Views
971
Views on SlideShare
938
Embed Views
33

Actions

Likes
0
Downloads
10
Comments
0

3 Embeds 33

http://xss.yandex.net 22
http://www.linkedin.com 8
https://www.linkedin.com 3

Accessibility

Categories

Upload Details

Uploaded via as Apple Keynote

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Добрый день, меня зовут Матросов Александр, я являюсь аналитиком отдела веб-поиска компании Яндекс. В моем докладе я хочу поднять довольно животрепещещую сейчас тему связанную с активностью вредоносных кодов относительно веб-сервисов. Итак \"Вирус подмены страниц: изменение поведения веб-сервисов без ведома их создателей\" <br />
  • Доклад будет разделен на несколько логических частей, в первой мы поговорим о проблеме в целом, во второй части доклада я озвучу некоторую статистику, которая позволит вам более наглядно оценить масштабы этой угрозы. <br /> После чего мы оценим примерные доходы злоумышленников и поговорим о различных способах монетизации. <br /> Далее я расскажу о том, как мы боремся с этой угрозой в Яндексе и мы немного подискутируем на эту тему. <br /> Ну и для тех кто дослушает мой доклад до конца, специальный бонус, я расскажу об одном интересном зловреде, который мне встретился относительно недавно. <br />
  • <br />
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. <br /> Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. <br /> Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. <br /> В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно. <br />
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. <br /> Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. <br /> Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. <br /> В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно. <br />
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. <br /> Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. <br /> Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. <br /> В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно. <br />
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. <br /> Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. <br /> Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. <br /> В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно. <br />
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. <br /> Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. <br /> Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. <br /> В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно. <br />
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. <br /> Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. <br /> Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. <br /> В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно. <br />
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. <br /> Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. <br /> Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. <br /> В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно. <br />
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. <br /> Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. <br /> Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. <br /> В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно. <br />
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. <br /> Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. <br /> Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. <br /> В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно. <br />
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. <br /> Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. <br /> Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. <br /> В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно. <br />
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. <br /> Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. <br /> Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. <br /> В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно. <br />
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. <br /> Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. <br /> Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. <br /> В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно. <br />
  • Что же такое Вирус подмены страниц, мы считаем что это - ... <br /> Может появиться вопрос, почему мы дали именно такое название, ведь оно несколько расходится с современной классификацией злонамеренных кодов от антивирусных компаний. Мы это прекрасно осознаем, но все дело в том, что пользователи Яндекса в своей подавляющей массе незнакомы с этой классификацией и наше название для них понятнее всего характеризует эту угрозу. <br /> Ну а если говорить в рамках классификации злономеренных кодов от антивирусных компаний, то Вирус подмены страниц может иметь различные проявления в разных классах вредоносного ПО. <br />
  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней. <br /> <br />
  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней. <br /> <br />
  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней. <br /> <br />
  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней. <br /> <br />
  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней. <br /> <br />
  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней. <br /> <br />
  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней. <br /> <br />
  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней. <br /> <br />
  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней. <br /> <br />
  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней. <br /> <br />
  • Вот примеры некоторых выжимок и из лицензионного соглашения к AdWare программам. <br /> ... <br /> Как мы видим из этих выдержек, пользователь сам соглашается на злонамеренную активность при установке себе AdWare, поэтому задача адварщиков состоит в том, чтобы пользователь не читал соглашение, а машинально кликнул по кнопке с надписью “Согласен”. Именно эта тонка грань отличает троянскую программу, от Adware, так как пользователь сам со всем соглашается. Именно по этой причине антивирусные компании относят такое злонамеренное ПО к классу Adware, а не троянских программ. <br />
  • А теперь давайте рассмотрим схему подмены результатов поиска на стороне пользователя в общем виде. <br /> Она состоит из нескольких итераций: <br /> - сначала злонамеренный код проверяет URL и ищет в нем интересующие его имена (yandex, google, одноклассники и т.п.), проверка может проходить, как на стороне клиента, так и ввиде перенаправления запроса третьей строне, котороя определяет уже степень интереса. <br /> - если запрос не представляет интереса для злоумышленников, тогда управление вновь возвращается веб-браузеру и дальше происходит стандартный ход событий. <br /> - а вот если запрос совпал с патернами злоумышленников, тогда третья сторона регламентирует поведение злономеренного кода и передает команды на что осуществлять подмену результатов поиска. Здесь также может быть реализована схема, когда не происходит общения с третьей стороной и все прошито непосредственно во вредоносном коде, но так как такая схема является не гибкой для злоумышленников, встречается она довольно редко. <br /> - следующим шагом вредоносный код на стороне пользователя осуществляет подмену результатов поиска и передает управление веб-браузеру. <br />
  • Вот так это выглядит в жизни, пользователь видит на веб-странице с результатами поиска одну информацию, а если посмотреть в свойствах этой ссылке или html-коде, там будет совсем другая ссылка. Причем на этом конкретном примере подмененные ссылки ведут на счетчик, который учитывает клики каждого конкретного зараженного пользователя. Так как у каждого пользователя есть свой UID, а у каждому экземпляру устанавливаемого злонамеренного кода присваевается свой ID. UID+ID позволяют посчитать злоумышленникам число подмененных переходов для конкретного экземпляра вредоносного кода, это им необходимо для осуществления выплат распространителям конкретных версий. <br />
  • Теперь хотелось бы поговорить о способах доставки этой гадости клиенту, а как показывает практика они довольно разнообразны. <br /> Первый и самый наверное известный способ это trojan-downloaders, которые осуществляют собственно доствку и инсталляцию зловреда в систему. <br /> Криминальная индустрия связанная с злонамеренными кодами довольно многогранна и trojan-downloaders это универсальное звено, которое не нацеленно на установку одной конкретной программы, а является универсальным способом доставки и зачистую после успешной инстоляции зловреда удаляют себя из зараженной системы. <br /> Следующий способ появился относительно недавно и довольно оригинален, это различные софт-порталы. С хозяином софт-портала договаривается непосредственно адварщик о распространении своей гадости и о способе оплаты, а как мы говарили ранее каждый зловред может иметь свой ID, а различные диапазоны таких ID могут соответсвовать определенным софт-порталам. Структуры который осуществляют выплаты и учет трафика называются партнерками. Так вот основная идея состоит в том, что с вполне легальной и более того известной программой в довесок идет адварь, что интересно подготовка таких двуликих дистрибутивов тоже автоматизирована. <br /> Следующий способ довольно примитивен, но тоже имеет место быть, это злонамеренные веб-ресурсы, которые предлагаю для более эфективного просмотра установить некоторый плагин, после чего они обещают полное счастье и гармонию со своим веб-ресурсом. <br /> Так же существует ряд других способов, которые имеют место быть, но встречаюся гораздо реже выше перечисленных способов, например поддельные антивирусы. <br />
  • Теперь хотелось бы поговорить о способах доставки этой гадости клиенту, а как показывает практика они довольно разнообразны. <br /> Первый и самый наверное известный способ это trojan-downloaders, которые осуществляют собственно доствку и инсталляцию зловреда в систему. <br /> Криминальная индустрия связанная с злонамеренными кодами довольно многогранна и trojan-downloaders это универсальное звено, которое не нацеленно на установку одной конкретной программы, а является универсальным способом доставки и зачистую после успешной инстоляции зловреда удаляют себя из зараженной системы. <br /> Следующий способ появился относительно недавно и довольно оригинален, это различные софт-порталы. С хозяином софт-портала договаривается непосредственно адварщик о распространении своей гадости и о способе оплаты, а как мы говарили ранее каждый зловред может иметь свой ID, а различные диапазоны таких ID могут соответсвовать определенным софт-порталам. Структуры который осуществляют выплаты и учет трафика называются партнерками. Так вот основная идея состоит в том, что с вполне легальной и более того известной программой в довесок идет адварь, что интересно подготовка таких двуликих дистрибутивов тоже автоматизирована. <br /> Следующий способ довольно примитивен, но тоже имеет место быть, это злонамеренные веб-ресурсы, которые предлагаю для более эфективного просмотра установить некоторый плагин, после чего они обещают полное счастье и гармонию со своим веб-ресурсом. <br /> Так же существует ряд других способов, которые имеют место быть, но встречаюся гораздо реже выше перечисленных способов, например поддельные антивирусы. <br />
  • Теперь хотелось бы поговорить о способах доставки этой гадости клиенту, а как показывает практика они довольно разнообразны. <br /> Первый и самый наверное известный способ это trojan-downloaders, которые осуществляют собственно доствку и инсталляцию зловреда в систему. <br /> Криминальная индустрия связанная с злонамеренными кодами довольно многогранна и trojan-downloaders это универсальное звено, которое не нацеленно на установку одной конкретной программы, а является универсальным способом доставки и зачистую после успешной инстоляции зловреда удаляют себя из зараженной системы. <br /> Следующий способ появился относительно недавно и довольно оригинален, это различные софт-порталы. С хозяином софт-портала договаривается непосредственно адварщик о распространении своей гадости и о способе оплаты, а как мы говарили ранее каждый зловред может иметь свой ID, а различные диапазоны таких ID могут соответсвовать определенным софт-порталам. Структуры который осуществляют выплаты и учет трафика называются партнерками. Так вот основная идея состоит в том, что с вполне легальной и более того известной программой в довесок идет адварь, что интересно подготовка таких двуликих дистрибутивов тоже автоматизирована. <br /> Следующий способ довольно примитивен, но тоже имеет место быть, это злонамеренные веб-ресурсы, которые предлагаю для более эфективного просмотра установить некоторый плагин, после чего они обещают полное счастье и гармонию со своим веб-ресурсом. <br /> Так же существует ряд других способов, которые имеют место быть, но встречаюся гораздо реже выше перечисленных способов, например поддельные антивирусы. <br />
  • Теперь хотелось бы поговорить о способах доставки этой гадости клиенту, а как показывает практика они довольно разнообразны. <br /> Первый и самый наверное известный способ это trojan-downloaders, которые осуществляют собственно доствку и инсталляцию зловреда в систему. <br /> Криминальная индустрия связанная с злонамеренными кодами довольно многогранна и trojan-downloaders это универсальное звено, которое не нацеленно на установку одной конкретной программы, а является универсальным способом доставки и зачистую после успешной инстоляции зловреда удаляют себя из зараженной системы. <br /> Следующий способ появился относительно недавно и довольно оригинален, это различные софт-порталы. С хозяином софт-портала договаривается непосредственно адварщик о распространении своей гадости и о способе оплаты, а как мы говарили ранее каждый зловред может иметь свой ID, а различные диапазоны таких ID могут соответсвовать определенным софт-порталам. Структуры который осуществляют выплаты и учет трафика называются партнерками. Так вот основная идея состоит в том, что с вполне легальной и более того известной программой в довесок идет адварь, что интересно подготовка таких двуликих дистрибутивов тоже автоматизирована. <br /> Следующий способ довольно примитивен, но тоже имеет место быть, это злонамеренные веб-ресурсы, которые предлагаю для более эфективного просмотра установить некоторый плагин, после чего они обещают полное счастье и гармонию со своим веб-ресурсом. <br /> Так же существует ряд других способов, которые имеют место быть, но встречаюся гораздо реже выше перечисленных способов, например поддельные антивирусы. <br />
  • Теперь хотелось бы обратить ваше внимание на маштабы распространения этой угрозы и поверьте они вас несколько удивят :). <br />
  • Сначала давайте поговорим о маштабах распространения AdWare на примере семейства AdWare.Win32.MyCentria (по классификации ЛК). Мы начали отслеживать вредоносную активность с ноября месяца и по наши данным тогда это было пол млн. зараженных пользователей. В том же месяце все крупные игроки антивирусного рынка добавили в свои базы этого зловреда. Причем здесь ситуация складывалась довольно интересно, одни антивирусные компании классифицировали этого зловреда, как троянца, другие как адварь. Это как раз возвращаясь к том, что грань между троянцем и адварью, очень тонкая и трактоваться она может по разному. <br /> Правдо ведь масштабы распространенности поражают, а ведь этот зловред попадал к пользователям именно через софт-порталы. Причем, если внимательно присмотреться к этому графику то влияния антивирусов на кол-во зараженных пользователей минимально и только закрытие партнерки дало снижение числа зараженных пользователей. А это говорит о том, что кол-во заразившихся значительно превышает кол-во вылечившихся пользователей. <br /> А теперь для сравнения давайте посмотрим на масштабы самого распространенного троянца-кликера по данным компании DrWeb. <br />
  • <br />

RusCrypto'2009 Presentation Transcript

  • 1. Вирус подмены страниц: изменение поведения веб-сервисов без ведома их создателей Александр Матросов аналитик РусКрипто‘2009
  • 2. План доклада: • Вирус подмены страниц - проблема • Масштабы угрозы • Сколько на этом зарабатывают? • Противодействие угрозе • На сладкое ... 2
  • 3. Вирус подмены страниц -проблема 3
  • 4. Меняющаяся картина мира данны Веб - е сервис Пользователь 4
  • 5. Меняющаяся картина мира измененны е данные Веб - вредоносн Пользователь ый код сервис данны управляющи е е команды Злонамеренн ый арбитр 4
  • 6. Что за зверь - вирус подмены страниц ? Вирус подмены страниц - это злонамеренный программный код влияющий на качество работы поисковых веб-сервисов на стороне пользователя, посредством модификации страницы с Text результатами поиска или изменения поведения браузера при кликах на ссылки. 5
  • 7. Что за зверь - вирус подмены страниц ? 6
  • 8. Что за зверь - вирус подмены страниц ? Вирус подмены AdWare 6
  • 9. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare 6
  • 10. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare Rootkit 6
  • 11. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare AdWare.Win32.MyCentria Rootkit 6
  • 12. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare Trojan.Win32.Clicker AdWare.Win32.MyCentria Rootkit 6
  • 13. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare Trojan.Win32.Clicker AdWare.Win32.MyCentria Rootkit Trojan.Win32.Patched 6
  • 14. Выдержки из лицензионного соглашения для Adware • «Информационная панель», размещенная внизу браузера, отображает ссылки на коммерческие и некоммерческие сайты исходя из содержания страницы. • Компания по своему усмотрению может проводить обновления и / или улучшения программного обеспечения, как часть данного соглашения. • Пользователь обязуется не совершать обратный анализ и декомпиляцию предоставляемого программного обеспечения. 7
  • 15. Trojan.Win32.Clicker Алгоритм подмены результатов поиска: TRUE Запросить Веб- подмененны Проверка браузер е URL результаты FALSE Вернуть Подменить управлени результаты е поиска Вернуть управлени е 8
  • 16. Trojan.Win32.Clicker 9
  • 17. Способы доставки и распространения 10
  • 18. Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. 10
  • 19. Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. ✴ Софт-порталы - распространение легальных и широко распространенных программ вместе с AdWare. 10
  • 20. Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. ✴ Софт-порталы - распространение легальных и широко распространенных программ вместе с AdWare. ✴ Злонамеренные web-ресурсы - сайты, предлагающие вам установить дополнительный плагин или кодек для более эффективной работы. 10
  • 21. Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. ✴ Софт-порталы - распространение легальных и широко распространенных программ вместе с AdWare. ✴ Злонамеренные web-ресурсы - сайты, предлагающие вам установить дополнительный плагин или кодек для более эффективной работы. ✴ Другие способы ... 10
  • 22. Масштабы угрозы 11
  • 23. Масштабы распространения Adware 700000 Закрытие партнерки и прекращение выплат Добавление сигнатуры в антивирусные базы 525000 Выход новой 350000 версии 175000 0 ноябрь декабрь январь февраль март * по данным мониторинга компании Яндекс 12
  • 24. Проблемы • Мягкие вердикты антивирусных компаний • Большие масштабы распространения • Приток новых зараженных пользователей превышает число вылеченных • Только неплатежи со стороны партнерки влияют на масштабы распространения 13
  • 25. Масштабы распространения Trojan.Clicker 5000 Активное лечение зловреда 3750 Добавление сигнатуры в антивирусные базы 2500 1250 0 январь февраль март * по данным http://stat.drweb.com 14
  • 26. AdWare vs Trojan Trojan.Clicker AdWare январь %8 дневной аудитории Рунета %4 дневной аудитории Рунета февраль %2 дневной аудитории март Рунета кол-во зараженных пользователей (% дневной аудитории Рунета) 15
  • 27. Сколько на этом зарабатывают? 16
  • 28. Как на этом зарабатывают? Монетизация кликов: • Редирект на рекламные площадки • Контекстная реклама в дополнительном фрейме • Редирект сразу на проплаченные сайты • Другие ... 17
  • 29. Сколько на этом зарабатывают? Примерная оценка дневного заработка: средняя цена за клик 3 * 175 000 = 525 000 руб 2% дневной аудитории *самые дорогие клики: http://habrahabr.ru/blogs/begun/ 38901/ 18
  • 30. Противодействие угрозе 19
  • 31. Как мы боремся с этой угрозой • Взаимодействие с другими поисковыми системами • Отправка вредоносных сэмплов в антивирусные компании • Мониторинг угрозы, поиск новых экземпляров и противодействие им • Работа с зараженными пользователями 20
  • 32. Как бороться с этой угрозой ? 21
  • 33. На сладкое ... 22
  • 34. Trojan.Win32.Patched Описание вредоносного функционала: ✴ Подмена результатов поиска ✴ Подмена контекстной рекламы ✴ Перенаправление всех поисковых запросов ✴ Работает независимо от браузера *краткое описание зловреда от DrWeb: http://news.drweb.com/show/?i=152&c=5&p=4 *статистика обнаружения по данным ресурса VirusTotal: http://www.virustotal.com/ru/analisis/ 5ab81f809db8dd7b4276d090b932de71 23
  • 35. Trojan.Win32.Patched Деструктивная активность: ✴ Модифицируется системная библиотека ws2_32.dll ✴ Перехват экспроприируемых функций из ws2_32.dll ✴ Мониторинг информации в сетевых запросах ✴ Модификация сетевого трафика *скачать зараженный сэмпл ws2_32.dll можно здесь: http://www.oensivecomputing.net/? q=ocsearch&ocq=ba7b480af8293d78f0a7430100eb3de1 24
  • 36. Александр Матросов matrosov@yandex-team.ru safesearch@yandex-team.ru