A Vírusok Varázslatos Világa 35. - Linkeskedő linkek

A huszonhatodik részben teljes egészében azzal a kérdéssel foglalkoztunk, hogyan keletkezik a bejelentett támadó webhely, és hogyan gyógyítsuk azt

Searching...

Ha keresésről van szó, szinte mindenki azonnal a Google oldalára gondol, és valljuk be, ez az egyik legjobb és legnépszerűbb eszköz, amit milliók használnak szerte a világon. A kártevőterjesztők úgy okoskodtak, hogy ha valami rendkívüli esemény történik, érdemes egy domaint regisztrálni, vagy fertőzött botnetes gépekre irányítani a keresőtalálatokat, azt remélve, hogy ezekre majd sokan fognak kattintani. Korábban csak alkalmilag, katasztrófák, hírességek vélt vagy valós halálhíre, Valentin-nap, kiemelkedő sportesemények megrendezése esetén került sor tömeges linkmérgezésre, de mára ez a foglalatosság ipari méretűvé nőtt, és állandóan veszélyezteti a netezőket.

Átlagosan az első 70 Google-találat közül 15 tartalmaz kártékony oldalra irányító URL-t. Amikor pedig kiemelkedő érdeklődésre számot tartó esemény történik – például az Eyjafjallajökull vulkán kitörése –, akkor még ennél is magasabbak a számok

A Symantec végzett egy felmérést, amelyből az derült ki, hogy szervezettebb és automatizáltabb ez a jelenség, mint azt korábban gondoltuk volna. A háttérben gyaníthatóan a hamis antivírus programok fejlesztői állhatnak, erről tanúskodik az az adat is, miszerint a webes keresők első 70 találatának körülbelül 68 százaléka vezet rendszerint kártékony oldalakra, és ezek szinte mindig az emlegetett pánik programokat tartalmazzák. Nem kell hát vulkán, nem kell Storm Worm, Eurovíziós dalfesztivál, NHL kupa, ezektől teljesen függetlenül állandó jelleggel folyik a Google Trends monitorozása, automatizált kihasználása. A vizsgálatok eredményei, amelyet a Google 2010. márciusi és áprilisi találatai alapján végeztek, azt mutatták, hogy a napi aktuális top 10 keresőszó alapján indított keresések eredményei közül mindig volt legalább három olyan, ahol kártékony linkekre mutattak a hivatkozások.

Ágnes asszony a patakban linkjeit mossa

Emiatt a Google-nél több millió oldalt vizsgálnak át naponta. Ez az elemzés a hatalmas meglévő és keletkező mennyiség miatt – a víruslaborokba ömlő napi sok ezer mintához hasonlóan – nem emberi, hanem automatikus feldolgozást jelent.

Ha kártékony kód van a weboldalon, a vírusirtó nyomban észleli. Itt még akkor is kaptunk riasztást, amikor csak egy komment tartalmazta szövegként a káros JavaScript-részletet

Elsőként azt nézik meg, hogy egy adott URL tartalmazza-e a „bank” vagy a „login” szavakat, illetve szerepel-e benne domainnév helyett gyanakvásra okot adó IP-cím, nem szokatlanul hosszú-e az URL-sor – ezek mind gyanús jelek lehetnek. A továbbiakban aztán ellenőrzésre kerül, tartalmaz-e jelszó („password”) nevű űrlapmezőt, megnézik a host szerverek területi információit stb. Utolsó lépésként pedig ellenőrzik az adott oldal esetleges adathalász-, spam-, illetve kártevőgyanús visszajelzéseit, a kétes domainhostot és hasonlókat. Ezek az összetett információk adnak aztán egy végső képet, ami alapján ha a Google szükségesnek látja, feketelistára teheti a linket.

A Google esetében azt is részletesen lekérdezhetjük, miért lett feketelistás egy adott oldal. Ez esetben jól látható, hogy gyanús szkripteket és 16 egyértelműen azonosítható trójai programot tartalmazott a weboldal

Az automatikus ítélet miatt elvétve előfordulhat hamis riasztás, de szerintük az ilyesmi pozitív esélye csekély, 1 a 10 000-hez. Nyilván az otthoni gépünknél csak egyedül erre az elemzésre támaszkodni helyi biztonsági programok helyett badarság lenne, de azokat ha némi késéssel is, de jól kiegészítheti. Persze az időfaktor is igen lényeges, valószínűleg a kártevőterjesztők sokkal gyorsabbak, és amíg a Google gépezete le is tiltja a linkek egy részét, addigra már régen újabbak vannak a nyitó oldalakon.