Your SlideShare is downloading. ×

RusCrypto'2009

610

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
610
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Добрый день, меня зовут Матросов Александр, я являюсь аналитиком отдела веб-поиска компании Яндекс. В моем докладе я хочу поднять довольно животрепещещую сейчас тему связанную с активностью вредоносных кодов относительно веб-сервисов. Итак \"Вирус подмены страниц: изменение поведения веб-сервисов без ведома их создателей\"
  • Доклад будет разделен на несколько логических частей, в первой мы поговорим о проблеме в целом, во второй части доклада я озвучу некоторую статистику, которая позволит вам более наглядно оценить масштабы этой угрозы.
    После чего мы оценим примерные доходы злоумышленников и поговорим о различных способах монетизации.
    Далее я расскажу о том, как мы боремся с этой угрозой в Яндексе и мы немного подискутируем на эту тему.
    Ну и для тех кто дослушает мой доклад до конца, специальный бонус, я расскажу об одном интересном зловреде, который мне встретился относительно недавно.

  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя.
    Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса.
    Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию.
    В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя.
    Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса.
    Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию.
    В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя.
    Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса.
    Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию.
    В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя.
    Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса.
    Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию.
    В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя.
    Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса.
    Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию.
    В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя.
    Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса.
    Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию.
    В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя.
    Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса.
    Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию.
    В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя.
    Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса.
    Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию.
    В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя.
    Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса.
    Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию.
    В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя.
    Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса.
    Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию.
    В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя.
    Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса.
    Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию.
    В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  • Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя.
    Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса.
    Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию.
    В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  • Что же такое Вирус подмены страниц, мы считаем что это - ...
    Может появиться вопрос, почему мы дали именно такое название, ведь оно несколько расходится с современной классификацией злонамеренных кодов от антивирусных компаний. Мы это прекрасно осознаем, но все дело в том, что пользователи Яндекса в своей подавляющей массе незнакомы с этой классификацией и наше название для них понятнее всего характеризует эту угрозу.
    Ну а если говорить в рамках классификации злономеренных кодов от антивирусных компаний, то Вирус подмены страниц может иметь различные проявления в разных классах вредоносного ПО.
  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.

  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.

  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.

  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.

  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.

  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.

  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.

  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.

  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.

  • А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.

  • Вот примеры некоторых выжимок и из лицензионного соглашения к AdWare программам.
    ...
    Как мы видим из этих выдержек, пользователь сам соглашается на злонамеренную активность при установке себе AdWare, поэтому задача адварщиков состоит в том, чтобы пользователь не читал соглашение, а машинально кликнул по кнопке с надписью “Согласен”. Именно эта тонка грань отличает троянскую программу, от Adware, так как пользователь сам со всем соглашается. Именно по этой причине антивирусные компании относят такое злонамеренное ПО к классу Adware, а не троянских программ.
  • А теперь давайте рассмотрим схему подмены результатов поиска на стороне пользователя в общем виде.
    Она состоит из нескольких итераций:
    - сначала злонамеренный код проверяет URL и ищет в нем интересующие его имена (yandex, google, одноклассники и т.п.), проверка может проходить, как на стороне клиента, так и ввиде перенаправления запроса третьей строне, котороя определяет уже степень интереса.
    - если запрос не представляет интереса для злоумышленников, тогда управление вновь возвращается веб-браузеру и дальше происходит стандартный ход событий.
    - а вот если запрос совпал с патернами злоумышленников, тогда третья сторона регламентирует поведение злономеренного кода и передает команды на что осуществлять подмену результатов поиска. Здесь также может быть реализована схема, когда не происходит общения с третьей стороной и все прошито непосредственно во вредоносном коде, но так как такая схема является не гибкой для злоумышленников, встречается она довольно редко.
    - следующим шагом вредоносный код на стороне пользователя осуществляет подмену результатов поиска и передает управление веб-браузеру.
  • Вот так это выглядит в жизни, пользователь видит на веб-странице с результатами поиска одну информацию, а если посмотреть в свойствах этой ссылке или html-коде, там будет совсем другая ссылка. Причем на этом конкретном примере подмененные ссылки ведут на счетчик, который учитывает клики каждого конкретного зараженного пользователя. Так как у каждого пользователя есть свой UID, а у каждому экземпляру устанавливаемого злонамеренного кода присваевается свой ID. UID+ID позволяют посчитать злоумышленникам число подмененных переходов для конкретного экземпляра вредоносного кода, это им необходимо для осуществления выплат распространителям конкретных версий.
  • Теперь хотелось бы поговорить о способах доставки этой гадости клиенту, а как показывает практика они довольно разнообразны.
    Первый и самый наверное известный способ это trojan-downloaders, которые осуществляют собственно доствку и инсталляцию зловреда в систему.
    Криминальная индустрия связанная с злонамеренными кодами довольно многогранна и trojan-downloaders это универсальное звено, которое не нацеленно на установку одной конкретной программы, а является универсальным способом доставки и зачистую после успешной инстоляции зловреда удаляют себя из зараженной системы.
    Следующий способ появился относительно недавно и довольно оригинален, это различные софт-порталы. С хозяином софт-портала договаривается непосредственно адварщик о распространении своей гадости и о способе оплаты, а как мы говарили ранее каждый зловред может иметь свой ID, а различные диапазоны таких ID могут соответсвовать определенным софт-порталам. Структуры который осуществляют выплаты и учет трафика называются партнерками. Так вот основная идея состоит в том, что с вполне легальной и более того известной программой в довесок идет адварь, что интересно подготовка таких двуликих дистрибутивов тоже автоматизирована.
    Следующий способ довольно примитивен, но тоже имеет место быть, это злонамеренные веб-ресурсы, которые предлагаю для более эфективного просмотра установить некоторый плагин, после чего они обещают полное счастье и гармонию со своим веб-ресурсом.
    Так же существует ряд других способов, которые имеют место быть, но встречаюся гораздо реже выше перечисленных способов, например поддельные антивирусы.
  • Теперь хотелось бы поговорить о способах доставки этой гадости клиенту, а как показывает практика они довольно разнообразны.
    Первый и самый наверное известный способ это trojan-downloaders, которые осуществляют собственно доствку и инсталляцию зловреда в систему.
    Криминальная индустрия связанная с злонамеренными кодами довольно многогранна и trojan-downloaders это универсальное звено, которое не нацеленно на установку одной конкретной программы, а является универсальным способом доставки и зачистую после успешной инстоляции зловреда удаляют себя из зараженной системы.
    Следующий способ появился относительно недавно и довольно оригинален, это различные софт-порталы. С хозяином софт-портала договаривается непосредственно адварщик о распространении своей гадости и о способе оплаты, а как мы говарили ранее каждый зловред может иметь свой ID, а различные диапазоны таких ID могут соответсвовать определенным софт-порталам. Структуры который осуществляют выплаты и учет трафика называются партнерками. Так вот основная идея состоит в том, что с вполне легальной и более того известной программой в довесок идет адварь, что интересно подготовка таких двуликих дистрибутивов тоже автоматизирована.
    Следующий способ довольно примитивен, но тоже имеет место быть, это злонамеренные веб-ресурсы, которые предлагаю для более эфективного просмотра установить некоторый плагин, после чего они обещают полное счастье и гармонию со своим веб-ресурсом.
    Так же существует ряд других способов, которые имеют место быть, но встречаюся гораздо реже выше перечисленных способов, например поддельные антивирусы.
  • Теперь хотелось бы поговорить о способах доставки этой гадости клиенту, а как показывает практика они довольно разнообразны.
    Первый и самый наверное известный способ это trojan-downloaders, которые осуществляют собственно доствку и инсталляцию зловреда в систему.
    Криминальная индустрия связанная с злонамеренными кодами довольно многогранна и trojan-downloaders это универсальное звено, которое не нацеленно на установку одной конкретной программы, а является универсальным способом доставки и зачистую после успешной инстоляции зловреда удаляют себя из зараженной системы.
    Следующий способ появился относительно недавно и довольно оригинален, это различные софт-порталы. С хозяином софт-портала договаривается непосредственно адварщик о распространении своей гадости и о способе оплаты, а как мы говарили ранее каждый зловред может иметь свой ID, а различные диапазоны таких ID могут соответсвовать определенным софт-порталам. Структуры который осуществляют выплаты и учет трафика называются партнерками. Так вот основная идея состоит в том, что с вполне легальной и более того известной программой в довесок идет адварь, что интересно подготовка таких двуликих дистрибутивов тоже автоматизирована.
    Следующий способ довольно примитивен, но тоже имеет место быть, это злонамеренные веб-ресурсы, которые предлагаю для более эфективного просмотра установить некоторый плагин, после чего они обещают полное счастье и гармонию со своим веб-ресурсом.
    Так же существует ряд других способов, которые имеют место быть, но встречаюся гораздо реже выше перечисленных способов, например поддельные антивирусы.
  • Теперь хотелось бы поговорить о способах доставки этой гадости клиенту, а как показывает практика они довольно разнообразны.
    Первый и самый наверное известный способ это trojan-downloaders, которые осуществляют собственно доствку и инсталляцию зловреда в систему.
    Криминальная индустрия связанная с злонамеренными кодами довольно многогранна и trojan-downloaders это универсальное звено, которое не нацеленно на установку одной конкретной программы, а является универсальным способом доставки и зачистую после успешной инстоляции зловреда удаляют себя из зараженной системы.
    Следующий способ появился относительно недавно и довольно оригинален, это различные софт-порталы. С хозяином софт-портала договаривается непосредственно адварщик о распространении своей гадости и о способе оплаты, а как мы говарили ранее каждый зловред может иметь свой ID, а различные диапазоны таких ID могут соответсвовать определенным софт-порталам. Структуры который осуществляют выплаты и учет трафика называются партнерками. Так вот основная идея состоит в том, что с вполне легальной и более того известной программой в довесок идет адварь, что интересно подготовка таких двуликих дистрибутивов тоже автоматизирована.
    Следующий способ довольно примитивен, но тоже имеет место быть, это злонамеренные веб-ресурсы, которые предлагаю для более эфективного просмотра установить некоторый плагин, после чего они обещают полное счастье и гармонию со своим веб-ресурсом.
    Так же существует ряд других способов, которые имеют место быть, но встречаюся гораздо реже выше перечисленных способов, например поддельные антивирусы.
  • Теперь хотелось бы обратить ваше внимание на маштабы распространения этой угрозы и поверьте они вас несколько удивят :).
  • Сначала давайте поговорим о маштабах распространения AdWare на примере семейства AdWare.Win32.MyCentria (по классификации ЛК). Мы начали отслеживать вредоносную активность с ноября месяца и по наши данным тогда это было пол млн. зараженных пользователей. В том же месяце все крупные игроки антивирусного рынка добавили в свои базы этого зловреда. Причем здесь ситуация складывалась довольно интересно, одни антивирусные компании классифицировали этого зловреда, как троянца, другие как адварь. Это как раз возвращаясь к том, что грань между троянцем и адварью, очень тонкая и трактоваться она может по разному.
    Правдо ведь масштабы распространенности поражают, а ведь этот зловред попадал к пользователям именно через софт-порталы. Причем, если внимательно присмотреться к этому графику то влияния антивирусов на кол-во зараженных пользователей минимально и только закрытие партнерки дало снижение числа зараженных пользователей. А это говорит о том, что кол-во заразившихся значительно превышает кол-во вылечившихся пользователей.
    А теперь для сравнения давайте посмотрим на масштабы самого распространенного троянца-кликера по данным компании DrWeb.

  • Transcript

    • 1. Вирус подмены страниц: изменение поведения веб-сервисов без ведома их создателей Александр Матросов аналитик РусКрипто‘2009
    • 2. План доклада: • Вирус подмены страниц - проблема • Масштабы угрозы • Сколько на этом зарабатывают? • Противодействие угрозе • На сладкое ... 2
    • 3. Вирус подмены страниц -проблема 3
    • 4. Меняющаяся картина мира данны Веб - е сервис Пользователь 4
    • 5. Меняющаяся картина мира измененны е данные Веб - вредоносн Пользователь ый код сервис данны управляющи е е команды Злонамеренн ый арбитр 4
    • 6. Что за зверь - вирус подмены страниц ? Вирус подмены страниц - это злонамеренный программный код влияющий на качество работы поисковых веб-сервисов на стороне пользователя, посредством модификации страницы с Text результатами поиска или изменения поведения браузера при кликах на ссылки. 5
    • 7. Что за зверь - вирус подмены страниц ? 6
    • 8. Что за зверь - вирус подмены страниц ? Вирус подмены AdWare 6
    • 9. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare 6
    • 10. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare Rootkit 6
    • 11. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare AdWare.Win32.MyCentria Rootkit 6
    • 12. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare Trojan.Win32.Clicker AdWare.Win32.MyCentria Rootkit 6
    • 13. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare Trojan.Win32.Clicker AdWare.Win32.MyCentria Rootkit Trojan.Win32.Patched 6
    • 14. Выдержки из лицензионного соглашения для Adware • «Информационная панель», размещенная внизу браузера, отображает ссылки на коммерческие и некоммерческие сайты исходя из содержания страницы. • Компания по своему усмотрению может проводить обновления и / или улучшения программного обеспечения, как часть данного соглашения. • Пользователь обязуется не совершать обратный анализ и декомпиляцию предоставляемого программного обеспечения. 7
    • 15. Trojan.Win32.Clicker Алгоритм подмены результатов поиска: TRUE Запросить Веб- подмененны Проверка браузер е URL результаты FALSE Вернуть Подменить управлени результаты е поиска Вернуть управлени е 8
    • 16. Trojan.Win32.Clicker 9
    • 17. Способы доставки и распространения 10
    • 18. Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. 10
    • 19. Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. ✴ Софт-порталы - распространение легальных и широко распространенных программ вместе с AdWare. 10
    • 20. Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. ✴ Софт-порталы - распространение легальных и широко распространенных программ вместе с AdWare. ✴ Злонамеренные web-ресурсы - сайты, предлагающие вам установить дополнительный плагин или кодек для более эффективной работы. 10
    • 21. Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. ✴ Софт-порталы - распространение легальных и широко распространенных программ вместе с AdWare. ✴ Злонамеренные web-ресурсы - сайты, предлагающие вам установить дополнительный плагин или кодек для более эффективной работы. ✴ Другие способы ... 10
    • 22. Масштабы угрозы 11
    • 23. Масштабы распространения Adware 700000 Закрытие партнерки и прекращение выплат Добавление сигнатуры в антивирусные базы 525000 Выход новой 350000 версии 175000 0 ноябрь декабрь январь февраль март * по данным мониторинга компании Яндекс 12
    • 24. Проблемы • Мягкие вердикты антивирусных компаний • Большие масштабы распространения • Приток новых зараженных пользователей превышает число вылеченных • Только неплатежи со стороны партнерки влияют на масштабы распространения 13
    • 25. Масштабы распространения Trojan.Clicker 5000 Активное лечение зловреда 3750 Добавление сигнатуры в антивирусные базы 2500 1250 0 январь февраль март * по данным http://stat.drweb.com 14
    • 26. AdWare vs Trojan Trojan.Clicker AdWare январь %8 дневной аудитории Рунета %4 дневной аудитории Рунета февраль %2 дневной аудитории март Рунета кол-во зараженных пользователей (% дневной аудитории Рунета) 15
    • 27. Сколько на этом зарабатывают? 16
    • 28. Как на этом зарабатывают? Монетизация кликов: • Редирект на рекламные площадки • Контекстная реклама в дополнительном фрейме • Редирект сразу на проплаченные сайты • Другие ... 17
    • 29. Сколько на этом зарабатывают? Примерная оценка дневного заработка: средняя цена за клик 3 * 175 000 = 525 000 руб 2% дневной аудитории *самые дорогие клики: http://habrahabr.ru/blogs/begun/ 38901/ 18
    • 30. Противодействие угрозе 19
    • 31. Как мы боремся с этой угрозой • Взаимодействие с другими поисковыми системами • Отправка вредоносных сэмплов в антивирусные компании • Мониторинг угрозы, поиск новых экземпляров и противодействие им • Работа с зараженными пользователями 20
    • 32. Как бороться с этой угрозой ? 21
    • 33. На сладкое ... 22
    • 34. Trojan.Win32.Patched Описание вредоносного функционала: ✴ Подмена результатов поиска ✴ Подмена контекстной рекламы ✴ Перенаправление всех поисковых запросов ✴ Работает независимо от браузера *краткое описание зловреда от DrWeb: http://news.drweb.com/show/?i=152&c=5&p=4 *статистика обнаружения по данным ресурса VirusTotal: http://www.virustotal.com/ru/analisis/ 5ab81f809db8dd7b4276d090b932de71 23
    • 35. Trojan.Win32.Patched Деструктивная активность: ✴ Модифицируется системная библиотека ws2_32.dll ✴ Перехват экспроприируемых функций из ws2_32.dll ✴ Мониторинг информации в сетевых запросах ✴ Модификация сетевого трафика *скачать зараженный сэмпл ws2_32.dll можно здесь: http://www.oensivecomputing.net/? q=ocsearchocq=ba7b480af8293d78f0a7430100eb3de1 24
    • 36. Александр Матросов matrosov@yandex-team.ru safesearch@yandex-team.ru

    ×