SlideShare uma empresa Scribd logo

RusCrypto'2009

Transferir como KEY, PDF
Alex Matrosov
Alex Matrosov
TecnologiaNegócios
1 de 36
Вирус подмены страниц: изменение поведения веб-сервисов без ведома их создателей Александр Матросов аналитик РусКрипто‘2009
План доклада: • Вирус подмены страниц - проблема • Масштабы угрозы • Сколько на этом зарабатывают? • Противодействие угрозе • На сладкое ... 2
Вирус подмены страниц -проблема 3
Меняющаяся картина мира данны Веб - е сервис Пользователь 4
Меняющаяся картина мира измененны е данные Веб - вредоносн Пользователь ый код сервис данны управляющи е е команды Злонамеренн ый арбитр 4
Что за зверь - вирус подмены страниц ? Вирус подмены страниц - это злонамеренный программный код влияющий на качество работы поисковых веб-сервисов на стороне пользователя, посредством модификации страницы с Text результатами поиска или изменения поведения браузера при кликах на ссылки. 5
Что за зверь - вирус подмены страниц ? 6
Что за зверь - вирус подмены страниц ? Вирус подмены AdWare 6
Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare 6
Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare Rootkit 6
Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare AdWare.Win32.MyCentria Rootkit 6
Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare Trojan.Win32.Clicker AdWare.Win32.MyCentria Rootkit 6
Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare Trojan.Win32.Clicker AdWare.Win32.MyCentria Rootkit Trojan.Win32.Patched 6
Выдержки из лицензионного соглашения для Adware • «Информационная панель», размещенная внизу браузера, отображает ссылки на коммерческие и некоммерческие сайты исходя из содержания страницы. • Компания по своему усмотрению может проводить обновления и / или улучшения программного обеспечения, как часть данного соглашения. • Пользователь обязуется не совершать обратный анализ и декомпиляцию предоставляемого программного обеспечения. 7
Trojan.Win32.Clicker Алгоритм подмены результатов поиска: TRUE Запросить Веб- подмененны Проверка браузер е URL результаты FALSE Вернуть Подменить управлени результаты е поиска Вернуть управлени е 8
Trojan.Win32.Clicker 9
Способы доставки и распространения 10
Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. 10
Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. ✴ Софт-порталы - распространение легальных и широко распространенных программ вместе с AdWare. 10
Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. ✴ Софт-порталы - распространение легальных и широко распространенных программ вместе с AdWare. ✴ Злонамеренные web-ресурсы - сайты, предлагающие вам установить дополнительный плагин или кодек для более эффективной работы. 10
Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. ✴ Софт-порталы - распространение легальных и широко распространенных программ вместе с AdWare. ✴ Злонамеренные web-ресурсы - сайты, предлагающие вам установить дополнительный плагин или кодек для более эффективной работы. ✴ Другие способы ... 10
Масштабы угрозы 11
Масштабы распространения Adware 700000 Закрытие партнерки и прекращение выплат Добавление сигнатуры в антивирусные базы 525000 Выход новой 350000 версии 175000 0 ноябрь декабрь январь февраль март * по данным мониторинга компании Яндекс 12
Проблемы • Мягкие вердикты антивирусных компаний • Большие масштабы распространения • Приток новых зараженных пользователей превышает число вылеченных • Только неплатежи со стороны партнерки влияют на масштабы распространения 13
Масштабы распространения Trojan.Clicker 5000 Активное лечение зловреда 3750 Добавление сигнатуры в антивирусные базы 2500 1250 0 январь февраль март * по данным http://stat.drweb.com 14
AdWare vs Trojan Trojan.Clicker AdWare январь %8 дневной аудитории Рунета %4 дневной аудитории Рунета февраль %2 дневной аудитории март Рунета кол-во зараженных пользователей (% дневной аудитории Рунета) 15
Сколько на этом зарабатывают? 16
Как на этом зарабатывают? Монетизация кликов: • Редирект на рекламные площадки • Контекстная реклама в дополнительном фрейме • Редирект сразу на проплаченные сайты • Другие ... 17
Сколько на этом зарабатывают? Примерная оценка дневного заработка: средняя цена за клик 3 * 175 000 = 525 000 руб 2% дневной аудитории *самые дорогие клики: http://habrahabr.ru/blogs/begun/ 38901/ 18
Противодействие угрозе 19
Как мы боремся с этой угрозой • Взаимодействие с другими поисковыми системами • Отправка вредоносных сэмплов в антивирусные компании • Мониторинг угрозы, поиск новых экземпляров и противодействие им • Работа с зараженными пользователями 20
Как бороться с этой угрозой ? 21
На сладкое ... 22
Trojan.Win32.Patched Описание вредоносного функционала: ✴ Подмена результатов поиска ✴ Подмена контекстной рекламы ✴ Перенаправление всех поисковых запросов ✴ Работает независимо от браузера *краткое описание зловреда от DrWeb: http://news.drweb.com/show/?i=152&c=5&p=4 *статистика обнаружения по данным ресурса VirusTotal: http://www.virustotal.com/ru/analisis/ 5ab81f809db8dd7b4276d090b932de71 23
Trojan.Win32.Patched Деструктивная активность: ✴ Модифицируется системная библиотека ws2_32.dll ✴ Перехват экспроприируемых функций из ws2_32.dll ✴ Мониторинг информации в сетевых запросах ✴ Модификация сетевого трафика *скачать зараженный сэмпл ws2_32.dll можно здесь: http://www.oensivecomputing.net/? q=ocsearchocq=ba7b480af8293d78f0a7430100eb3de1 24
Александр Матросов matrosov@yandex-team.ru safesearch@yandex-team.ru

Recomendados

классификация вредоносного по
классификация вредоносного поклассификация вредоносного по
классификация вредоносного поanna.korovko
 
Urazbaev
UrazbaevUrazbaev
Urazbaevsef2009
 
Sergey Kh Citrus Systems 2009
Sergey Kh Citrus Systems 2009Sergey Kh Citrus Systems 2009
Sergey Kh Citrus Systems 2009Liudmila Li
 
06 01 сертифицированные продукты
06 01 сертифицированные продукты06 01 сертифицированные продукты
06 01 сертифицированные продуктыLiudmila Li
 
02 Citrus Systems S Pb
02 Citrus Systems S Pb02 Citrus Systems S Pb
02 Citrus Systems S PbLiudmila Li
 
исчезнут ли российские эпс
исчезнут ли российские эпсисчезнут ли российские эпс
исчезнут ли российские эпсTimur AITOV
 
proxi nastr.
proxi nastr.proxi nastr.
proxi nastr.ZveZdatA e
 
Интернет-сообщества 2008: Организация Интернет-платежей как фактор развития б...
Интернет-сообщества 2008: Организация Интернет-платежей как фактор развития б...Интернет-сообщества 2008: Организация Интернет-платежей как фактор развития б...
Интернет-сообщества 2008: Организация Интернет-платежей как фактор развития б...E-Money News
 

Recomendados

классификация вредоносного по
классификация вредоносного поклассификация вредоносного по
классификация вредоносного поanna.korovko
 
Urazbaev
UrazbaevUrazbaev
Urazbaevsef2009
 
Sergey Kh Citrus Systems 2009
Sergey Kh Citrus Systems 2009Sergey Kh Citrus Systems 2009
Sergey Kh Citrus Systems 2009Liudmila Li
 
06 01 сертифицированные продукты
06 01 сертифицированные продукты06 01 сертифицированные продукты
06 01 сертифицированные продуктыLiudmila Li
 
02 Citrus Systems S Pb
02 Citrus Systems S Pb02 Citrus Systems S Pb
02 Citrus Systems S PbLiudmila Li
 
исчезнут ли российские эпс
исчезнут ли российские эпсисчезнут ли российские эпс
исчезнут ли российские эпсTimur AITOV
 
proxi nastr.
proxi nastr.proxi nastr.
proxi nastr.ZveZdatA e
 
Интернет-сообщества 2008: Организация Интернет-платежей как фактор развития б...
Интернет-сообщества 2008: Организация Интернет-платежей как фактор развития б...Интернет-сообщества 2008: Организация Интернет-платежей как фактор развития б...
Интернет-сообщества 2008: Организация Интернет-платежей как фактор развития б...E-Money News
 
Profit Backlog | В погоне за эффективным бэклогом
Profit Backlog | В погоне за эффективным бэклогомProfit Backlog | В погоне за эффективным бэклогом
Profit Backlog | В погоне за эффективным бэклогомNikita Filippov
 
Продвижение портала новостроек. Как SEO помогает стать лидером рынка?
Продвижение портала новостроек. Как SEO помогает стать лидером рынка?Продвижение портала новостроек. Как SEO помогает стать лидером рынка?
Продвижение портала новостроек. Как SEO помогает стать лидером рынка?collaborator.pro
 
presentation for print media
presentation for print mediapresentation for print media
presentation for print medialinkod
 
Elina kuzyutkina-hitrosti-i-tryuki-v-ispolzovanii-zabbix
Elina kuzyutkina-hitrosti-i-tryuki-v-ispolzovanii-zabbixElina kuzyutkina-hitrosti-i-tryuki-v-ispolzovanii-zabbix
Elina kuzyutkina-hitrosti-i-tryuki-v-ispolzovanii-zabbixMichael Ganschuk
 
бешков Lm Csv Rootconf
бешков Lm Csv Rootconfбешков Lm Csv Rootconf
бешков Lm Csv RootconfLiudmila Li
 
Direct Mail in Marketing Communications_BG
Direct Mail in Marketing Communications_BGDirect Mail in Marketing Communications_BG
Direct Mail in Marketing Communications_BGHristo Radichev
 
Sergey Ch Hp Citrix Keynote 2009
Sergey Ch Hp Citrix Keynote 2009Sergey Ch Hp Citrix Keynote 2009
Sergey Ch Hp Citrix Keynote 2009Liudmila Li
 
Mediafair 2008 Presentation PR Team
Mediafair 2008 Presentation PR TeamMediafair 2008 Presentation PR Team
Mediafair 2008 Presentation PR TeamAlexander Krastev
 
25 основных стилей блоггинга
25 основных стилей блоггинга25 основных стилей блоггинга
25 основных стилей блоггингаRoman Stroganov
 
владышев Zabbix Rootconf2009
владышев Zabbix Rootconf2009владышев Zabbix Rootconf2009
владышев Zabbix Rootconf2009Liudmila Li
 
07 Ws08 R2 Virt
07 Ws08 R2 Virt07 Ws08 R2 Virt
07 Ws08 R2 VirtLiudmila Li
 
ОС 1
ОС 1ОС 1
ОС 1ilya apalkoff
 
vSphere Launch Technical Keynote - Москва, 26 мая
vSphere Launch Technical Keynote - Москва, 26 маяvSphere Launch Technical Keynote - Москва, 26 мая
vSphere Launch Technical Keynote - Москва, 26 маяAnton Antich
 
Установки по приготовлению антисептиков и других дезинфекторов
Установки по приготовлению антисептиков и других дезинфекторовУстановки по приготовлению антисептиков и других дезинфекторов
Установки по приготовлению антисептиков и других дезинфекторовGlobeCore
 
Nikishin Root Conf
Nikishin Root ConfNikishin Root Conf
Nikishin Root ConfLiudmila Li
 
Sergey Kh Xs Essentials
Sergey Kh Xs EssentialsSergey Kh Xs Essentials
Sergey Kh Xs EssentialsLiudmila Li
 
Asterroid презентация
Asterroid презентацияAsterroid презентация
Asterroid презентацияLiudmila Li
 
Object Oriented Code RE with HexraysCodeXplorer
Object Oriented Code RE with HexraysCodeXplorerObject Oriented Code RE with HexraysCodeXplorer
Object Oriented Code RE with HexraysCodeXplorerAlex Matrosov
 
BERserk: New RSA Signature Forgery Attack
BERserk: New RSA Signature Forgery AttackBERserk: New RSA Signature Forgery Attack
BERserk: New RSA Signature Forgery AttackAlex Matrosov
 
BIOS and Secure Boot Attacks Uncovered
BIOS and Secure Boot Attacks UncoveredBIOS and Secure Boot Attacks Uncovered
BIOS and Secure Boot Attacks UncoveredAlex Matrosov
 
HexRaysCodeXplorer: object oriented RE for fun and profit
HexRaysCodeXplorer: object oriented RE for fun and profitHexRaysCodeXplorer: object oriented RE for fun and profit
HexRaysCodeXplorer: object oriented RE for fun and profitAlex Matrosov
 
Bootkits: past, present & future
Bootkits: past, present & futureBootkits: past, present & future
Bootkits: past, present & futureAlex Matrosov
 

Mais conteúdo relacionado

Mais procurados

Profit Backlog | В погоне за эффективным бэклогом
Profit Backlog | В погоне за эффективным бэклогомProfit Backlog | В погоне за эффективным бэклогом
Profit Backlog | В погоне за эффективным бэклогомNikita Filippov
 
Продвижение портала новостроек. Как SEO помогает стать лидером рынка?
Продвижение портала новостроек. Как SEO помогает стать лидером рынка?Продвижение портала новостроек. Как SEO помогает стать лидером рынка?
Продвижение портала новостроек. Как SEO помогает стать лидером рынка?collaborator.pro
 
presentation for print media
presentation for print mediapresentation for print media
presentation for print medialinkod
 
Elina kuzyutkina-hitrosti-i-tryuki-v-ispolzovanii-zabbix
Elina kuzyutkina-hitrosti-i-tryuki-v-ispolzovanii-zabbixElina kuzyutkina-hitrosti-i-tryuki-v-ispolzovanii-zabbix
Elina kuzyutkina-hitrosti-i-tryuki-v-ispolzovanii-zabbixMichael Ganschuk
 
бешков Lm Csv Rootconf
бешков Lm Csv Rootconfбешков Lm Csv Rootconf
бешков Lm Csv RootconfLiudmila Li
 
Direct Mail in Marketing Communications_BG
Direct Mail in Marketing Communications_BGDirect Mail in Marketing Communications_BG
Direct Mail in Marketing Communications_BGHristo Radichev
 
Sergey Ch Hp Citrix Keynote 2009
Sergey Ch Hp Citrix Keynote 2009Sergey Ch Hp Citrix Keynote 2009
Sergey Ch Hp Citrix Keynote 2009Liudmila Li
 
Mediafair 2008 Presentation PR Team
Mediafair 2008 Presentation PR TeamMediafair 2008 Presentation PR Team
Mediafair 2008 Presentation PR TeamAlexander Krastev
 
25 основных стилей блоггинга
25 основных стилей блоггинга25 основных стилей блоггинга
25 основных стилей блоггингаRoman Stroganov
 
владышев Zabbix Rootconf2009
владышев Zabbix Rootconf2009владышев Zabbix Rootconf2009
владышев Zabbix Rootconf2009Liudmila Li
 
vSphere Launch Technical Keynote - Москва, 26 мая
vSphere Launch Technical Keynote - Москва, 26 маяvSphere Launch Technical Keynote - Москва, 26 мая
vSphere Launch Technical Keynote - Москва, 26 маяAnton Antich
 
Установки по приготовлению антисептиков и других дезинфекторов
Установки по приготовлению антисептиков и других дезинфекторовУстановки по приготовлению антисептиков и других дезинфекторов
Установки по приготовлению антисептиков и других дезинфекторовGlobeCore
 
Nikishin Root Conf
Nikishin Root ConfNikishin Root Conf
Nikishin Root ConfLiudmila Li
 
Sergey Kh Xs Essentials
Sergey Kh Xs EssentialsSergey Kh Xs Essentials
Sergey Kh Xs EssentialsLiudmila Li
 
Asterroid презентация
Asterroid презентацияAsterroid презентация
Asterroid презентацияLiudmila Li
 

Mais procurados (17)

Profit Backlog | В погоне за эффективным бэклогом
Profit Backlog | В погоне за эффективным бэклогомProfit Backlog | В погоне за эффективным бэклогом
Profit Backlog | В погоне за эффективным бэклогом
 
Продвижение портала новостроек. Как SEO помогает стать лидером рынка?
Продвижение портала новостроек. Как SEO помогает стать лидером рынка?Продвижение портала новостроек. Как SEO помогает стать лидером рынка?
Продвижение портала новостроек. Как SEO помогает стать лидером рынка?
 
presentation for print media
presentation for print mediapresentation for print media
presentation for print media
 
Elina kuzyutkina-hitrosti-i-tryuki-v-ispolzovanii-zabbix
Elina kuzyutkina-hitrosti-i-tryuki-v-ispolzovanii-zabbixElina kuzyutkina-hitrosti-i-tryuki-v-ispolzovanii-zabbix
Elina kuzyutkina-hitrosti-i-tryuki-v-ispolzovanii-zabbix
 
бешков Lm Csv Rootconf
бешков Lm Csv Rootconfбешков Lm Csv Rootconf
бешков Lm Csv Rootconf
 
Direct Mail in Marketing Communications_BG
Direct Mail in Marketing Communications_BGDirect Mail in Marketing Communications_BG
Direct Mail in Marketing Communications_BG
 
Sergey Ch Hp Citrix Keynote 2009
Sergey Ch Hp Citrix Keynote 2009Sergey Ch Hp Citrix Keynote 2009
Sergey Ch Hp Citrix Keynote 2009
 
Mediafair 2008 Presentation PR Team
Mediafair 2008 Presentation PR TeamMediafair 2008 Presentation PR Team
Mediafair 2008 Presentation PR Team
 
25 основных стилей блоггинга
25 основных стилей блоггинга25 основных стилей блоггинга
25 основных стилей блоггинга
 
владышев Zabbix Rootconf2009
владышев Zabbix Rootconf2009владышев Zabbix Rootconf2009
владышев Zabbix Rootconf2009
 
07 Ws08 R2 Virt
07 Ws08 R2 Virt07 Ws08 R2 Virt
07 Ws08 R2 Virt
 
ОС 1
ОС 1ОС 1
ОС 1
 
vSphere Launch Technical Keynote - Москва, 26 мая
vSphere Launch Technical Keynote - Москва, 26 маяvSphere Launch Technical Keynote - Москва, 26 мая
vSphere Launch Technical Keynote - Москва, 26 мая
 
Установки по приготовлению антисептиков и других дезинфекторов
Установки по приготовлению антисептиков и других дезинфекторовУстановки по приготовлению антисептиков и других дезинфекторов
Установки по приготовлению антисептиков и других дезинфекторов
 
Nikishin Root Conf
Nikishin Root ConfNikishin Root Conf
Nikishin Root Conf
 
Sergey Kh Xs Essentials
Sergey Kh Xs EssentialsSergey Kh Xs Essentials
Sergey Kh Xs Essentials
 
Asterroid презентация
Asterroid презентацияAsterroid презентация
Asterroid презентация
 

Mais de Alex Matrosov

Object Oriented Code RE with HexraysCodeXplorer
Object Oriented Code RE with HexraysCodeXplorerObject Oriented Code RE with HexraysCodeXplorer
Object Oriented Code RE with HexraysCodeXplorerAlex Matrosov
 
BERserk: New RSA Signature Forgery Attack
BERserk: New RSA Signature Forgery AttackBERserk: New RSA Signature Forgery Attack
BERserk: New RSA Signature Forgery AttackAlex Matrosov
 
BIOS and Secure Boot Attacks Uncovered
BIOS and Secure Boot Attacks UncoveredBIOS and Secure Boot Attacks Uncovered
BIOS and Secure Boot Attacks UncoveredAlex Matrosov
 
HexRaysCodeXplorer: object oriented RE for fun and profit
HexRaysCodeXplorer: object oriented RE for fun and profitHexRaysCodeXplorer: object oriented RE for fun and profit
HexRaysCodeXplorer: object oriented RE for fun and profitAlex Matrosov
 
Bootkits: past, present & future
Bootkits: past, present & futureBootkits: past, present & future
Bootkits: past, present & futureAlex Matrosov
 
HexRaysCodeXplorer: make object-oriented RE easier
HexRaysCodeXplorer: make object-oriented RE easierHexRaysCodeXplorer: make object-oriented RE easier
HexRaysCodeXplorer: make object-oriented RE easierAlex Matrosov
 
Reconstructing Gapz: Position-Independent Code Analysis Problem
Reconstructing Gapz: Position-Independent Code Analysis ProblemReconstructing Gapz: Position-Independent Code Analysis Problem
Reconstructing Gapz: Position-Independent Code Analysis ProblemAlex Matrosov
 
Advanced Evasion Techniques by Win32/Gapz
Advanced Evasion Techniques by Win32/GapzAdvanced Evasion Techniques by Win32/Gapz
Advanced Evasion Techniques by Win32/GapzAlex Matrosov
 
Festi botnet analysis and investigation
Festi botnet analysis and investigationFesti botnet analysis and investigation
Festi botnet analysis and investigationAlex Matrosov
 
Win32/Flamer: Reverse Engineering and Framework Reconstruction
Win32/Flamer: Reverse Engineering and Framework ReconstructionWin32/Flamer: Reverse Engineering and Framework Reconstruction
Win32/Flamer: Reverse Engineering and Framework ReconstructionAlex Matrosov
 
Smartcard vulnerabilities in modern banking malware
Smartcard vulnerabilities in modern banking malwareSmartcard vulnerabilities in modern banking malware
Smartcard vulnerabilities in modern banking malwareAlex Matrosov
 
Carberp Evolution and BlackHole: Investigation Beyond the Event Horizon
Carberp Evolution and BlackHole: Investigation Beyond the Event HorizonCarberp Evolution and BlackHole: Investigation Beyond the Event Horizon
Carberp Evolution and BlackHole: Investigation Beyond the Event HorizonAlex Matrosov
 
Modern malware techniques for attacking RBS systems in Russia
Modern malware techniques for attacking RBS systems in RussiaModern malware techniques for attacking RBS systems in Russia
Modern malware techniques for attacking RBS systems in RussiaAlex Matrosov
 
Win32/Duqu: involution of Stuxnet
Win32/Duqu: involution of StuxnetWin32/Duqu: involution of Stuxnet
Win32/Duqu: involution of StuxnetAlex Matrosov
 
Modern Bootkit Trends: Bypassing Kernel-Mode Signing Policy
Modern Bootkit Trends: Bypassing Kernel-Mode Signing PolicyModern Bootkit Trends: Bypassing Kernel-Mode Signing Policy
Modern Bootkit Trends: Bypassing Kernel-Mode Signing PolicyAlex Matrosov
 
Defeating x64: Modern Trends of Kernel-Mode Rootkits
Defeating x64: Modern Trends of Kernel-Mode RootkitsDefeating x64: Modern Trends of Kernel-Mode Rootkits
Defeating x64: Modern Trends of Kernel-Mode RootkitsAlex Matrosov
 
Defeating x64: The Evolution of the TDL Rootkit
Defeating x64: The Evolution of the TDL RootkitDefeating x64: The Evolution of the TDL Rootkit
Defeating x64: The Evolution of the TDL RootkitAlex Matrosov
 
Проведение криминалистической экспертизы и анализа руткит-программ на примере...
Проведение криминалистической экспертизы и анализа руткит-программ на примере...Проведение криминалистической экспертизы и анализа руткит-программ на примере...
Проведение криминалистической экспертизы и анализа руткит-программ на примере...Alex Matrosov
 
Cybercrime in Russia: Trends and Issues
Cybercrime in Russia: Trends and IssuesCybercrime in Russia: Trends and Issues
Cybercrime in Russia: Trends and IssuesAlex Matrosov
 

Mais de Alex Matrosov (20)

Object Oriented Code RE with HexraysCodeXplorer
Object Oriented Code RE with HexraysCodeXplorerObject Oriented Code RE with HexraysCodeXplorer
Object Oriented Code RE with HexraysCodeXplorer
 
BERserk: New RSA Signature Forgery Attack
BERserk: New RSA Signature Forgery AttackBERserk: New RSA Signature Forgery Attack
BERserk: New RSA Signature Forgery Attack
 
BIOS and Secure Boot Attacks Uncovered
BIOS and Secure Boot Attacks UncoveredBIOS and Secure Boot Attacks Uncovered
BIOS and Secure Boot Attacks Uncovered
 
HexRaysCodeXplorer: object oriented RE for fun and profit
HexRaysCodeXplorer: object oriented RE for fun and profitHexRaysCodeXplorer: object oriented RE for fun and profit
HexRaysCodeXplorer: object oriented RE for fun and profit
 
Bootkits: past, present & future
Bootkits: past, present & futureBootkits: past, present & future
Bootkits: past, present & future
 
HexRaysCodeXplorer: make object-oriented RE easier
HexRaysCodeXplorer: make object-oriented RE easierHexRaysCodeXplorer: make object-oriented RE easier
HexRaysCodeXplorer: make object-oriented RE easier
 
Reconstructing Gapz: Position-Independent Code Analysis Problem
Reconstructing Gapz: Position-Independent Code Analysis ProblemReconstructing Gapz: Position-Independent Code Analysis Problem
Reconstructing Gapz: Position-Independent Code Analysis Problem
 
Advanced Evasion Techniques by Win32/Gapz
Advanced Evasion Techniques by Win32/GapzAdvanced Evasion Techniques by Win32/Gapz
Advanced Evasion Techniques by Win32/Gapz
 
Festi botnet analysis and investigation
Festi botnet analysis and investigationFesti botnet analysis and investigation
Festi botnet analysis and investigation
 
Win32/Flamer: Reverse Engineering and Framework Reconstruction
Win32/Flamer: Reverse Engineering and Framework ReconstructionWin32/Flamer: Reverse Engineering and Framework Reconstruction
Win32/Flamer: Reverse Engineering and Framework Reconstruction
 
Smartcard vulnerabilities in modern banking malware
Smartcard vulnerabilities in modern banking malwareSmartcard vulnerabilities in modern banking malware
Smartcard vulnerabilities in modern banking malware
 
Carberp Evolution and BlackHole: Investigation Beyond the Event Horizon
Carberp Evolution and BlackHole: Investigation Beyond the Event HorizonCarberp Evolution and BlackHole: Investigation Beyond the Event Horizon
Carberp Evolution and BlackHole: Investigation Beyond the Event Horizon
 
Modern malware techniques for attacking RBS systems in Russia
Modern malware techniques for attacking RBS systems in RussiaModern malware techniques for attacking RBS systems in Russia
Modern malware techniques for attacking RBS systems in Russia
 
Win32/Duqu: involution of Stuxnet
Win32/Duqu: involution of StuxnetWin32/Duqu: involution of Stuxnet
Win32/Duqu: involution of Stuxnet
 
Modern Bootkit Trends: Bypassing Kernel-Mode Signing Policy
Modern Bootkit Trends: Bypassing Kernel-Mode Signing PolicyModern Bootkit Trends: Bypassing Kernel-Mode Signing Policy
Modern Bootkit Trends: Bypassing Kernel-Mode Signing Policy
 
Defeating x64: Modern Trends of Kernel-Mode Rootkits
Defeating x64: Modern Trends of Kernel-Mode RootkitsDefeating x64: Modern Trends of Kernel-Mode Rootkits
Defeating x64: Modern Trends of Kernel-Mode Rootkits
 
Defeating x64: The Evolution of the TDL Rootkit
Defeating x64: The Evolution of the TDL RootkitDefeating x64: The Evolution of the TDL Rootkit
Defeating x64: The Evolution of the TDL Rootkit
 
Проведение криминалистической экспертизы и анализа руткит-программ на примере...
Проведение криминалистической экспертизы и анализа руткит-программ на примере...Проведение криминалистической экспертизы и анализа руткит-программ на примере...
Проведение криминалистической экспертизы и анализа руткит-программ на примере...
 
Cybercrime in Russia: Trends and Issues
Cybercrime in Russia: Trends and IssuesCybercrime in Russia: Trends and Issues
Cybercrime in Russia: Trends and Issues
 
Stuxnet msu
Stuxnet msuStuxnet msu
Stuxnet msu
 

RusCrypto'2009

  • 1. Вирус подмены страниц: изменение поведения веб-сервисов без ведома их создателей Александр Матросов аналитик РусКрипто‘2009
  • 2. План доклада: • Вирус подмены страниц - проблема • Масштабы угрозы • Сколько на этом зарабатывают? • Противодействие угрозе • На сладкое ... 2
  • 4. Меняющаяся картина мира данны Веб - е сервис Пользователь 4
  • 5. Меняющаяся картина мира измененны е данные Веб - вредоносн Пользователь ый код сервис данны управляющи е е команды Злонамеренн ый арбитр 4
  • 6. Что за зверь - вирус подмены страниц ? Вирус подмены страниц - это злонамеренный программный код влияющий на качество работы поисковых веб-сервисов на стороне пользователя, посредством модификации страницы с Text результатами поиска или изменения поведения браузера при кликах на ссылки. 5
  • 7. Что за зверь - вирус подмены страниц ? 6
  • 8. Что за зверь - вирус подмены страниц ? Вирус подмены AdWare 6
  • 9. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare 6
  • 10. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare Rootkit 6
  • 11. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare AdWare.Win32.MyCentria Rootkit 6
  • 12. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare Trojan.Win32.Clicker AdWare.Win32.MyCentria Rootkit 6
  • 13. Что за зверь - вирус подмены страниц ? Вирус подмены Trojan AdWare Trojan.Win32.Clicker AdWare.Win32.MyCentria Rootkit Trojan.Win32.Patched 6
  • 14. Выдержки из лицензионного соглашения для Adware • «Информационная панель», размещенная внизу браузера, отображает ссылки на коммерческие и некоммерческие сайты исходя из содержания страницы. • Компания по своему усмотрению может проводить обновления и / или улучшения программного обеспечения, как часть данного соглашения. • Пользователь обязуется не совершать обратный анализ и декомпиляцию предоставляемого программного обеспечения. 7
  • 15. Trojan.Win32.Clicker Алгоритм подмены результатов поиска: TRUE Запросить Веб- подмененны Проверка браузер е URL результаты FALSE Вернуть Подменить управлени результаты е поиска Вернуть управлени е 8
  • 18. Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. 10
  • 19. Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. ✴ Софт-порталы - распространение легальных и широко распространенных программ вместе с AdWare. 10
  • 20. Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. ✴ Софт-порталы - распространение легальных и широко распространенных программ вместе с AdWare. ✴ Злонамеренные web-ресурсы - сайты, предлагающие вам установить дополнительный плагин или кодек для более эффективной работы. 10
  • 21. Способы доставки и распространения ✴ Trojan-Downloders - доставка и установка злонамеренного кода. ✴ Софт-порталы - распространение легальных и широко распространенных программ вместе с AdWare. ✴ Злонамеренные web-ресурсы - сайты, предлагающие вам установить дополнительный плагин или кодек для более эффективной работы. ✴ Другие способы ... 10
  • 23. Масштабы распространения Adware 700000 Закрытие партнерки и прекращение выплат Добавление сигнатуры в антивирусные базы 525000 Выход новой 350000 версии 175000 0 ноябрь декабрь январь февраль март * по данным мониторинга компании Яндекс 12
  • 24. Проблемы • Мягкие вердикты антивирусных компаний • Большие масштабы распространения • Приток новых зараженных пользователей превышает число вылеченных • Только неплатежи со стороны партнерки влияют на масштабы распространения 13
  • 25. Масштабы распространения Trojan.Clicker 5000 Активное лечение зловреда 3750 Добавление сигнатуры в антивирусные базы 2500 1250 0 январь февраль март * по данным http://stat.drweb.com 14
  • 26. AdWare vs Trojan Trojan.Clicker AdWare январь %8 дневной аудитории Рунета %4 дневной аудитории Рунета февраль %2 дневной аудитории март Рунета кол-во зараженных пользователей (% дневной аудитории Рунета) 15
  • 28. Как на этом зарабатывают? Монетизация кликов: • Редирект на рекламные площадки • Контекстная реклама в дополнительном фрейме • Редирект сразу на проплаченные сайты • Другие ... 17
  • 29. Сколько на этом зарабатывают? Примерная оценка дневного заработка: средняя цена за клик 3 * 175 000 = 525 000 руб 2% дневной аудитории *самые дорогие клики: http://habrahabr.ru/blogs/begun/ 38901/ 18
  • 31. Как мы боремся с этой угрозой • Взаимодействие с другими поисковыми системами • Отправка вредоносных сэмплов в антивирусные компании • Мониторинг угрозы, поиск новых экземпляров и противодействие им • Работа с зараженными пользователями 20
  • 32. Как бороться с этой угрозой ? 21
  • 34. Trojan.Win32.Patched Описание вредоносного функционала: ✴ Подмена результатов поиска ✴ Подмена контекстной рекламы ✴ Перенаправление всех поисковых запросов ✴ Работает независимо от браузера *краткое описание зловреда от DrWeb: http://news.drweb.com/show/?i=152&c=5&p=4 *статистика обнаружения по данным ресурса VirusTotal: http://www.virustotal.com/ru/analisis/ 5ab81f809db8dd7b4276d090b932de71 23
  • 35. Trojan.Win32.Patched Деструктивная активность: ✴ Модифицируется системная библиотека ws2_32.dll ✴ Перехват экспроприируемых функций из ws2_32.dll ✴ Мониторинг информации в сетевых запросах ✴ Модификация сетевого трафика *скачать зараженный сэмпл ws2_32.dll можно здесь: http://www.oensivecomputing.net/? q=ocsearchocq=ba7b480af8293d78f0a7430100eb3de1 24

Notas do Editor

  1. Добрый день, меня зовут Матросов Александр, я являюсь аналитиком отдела веб-поиска компании Яндекс. В моем докладе я хочу поднять довольно животрепещещую сейчас тему связанную с активностью вредоносных кодов относительно веб-сервисов. Итак \"Вирус подмены страниц: изменение поведения веб-сервисов без ведома их создателей\"
  2. Доклад будет разделен на несколько логических частей, в первой мы поговорим о проблеме в целом, во второй части доклада я озвучу некоторую статистику, которая позволит вам более наглядно оценить масштабы этой угрозы. После чего мы оценим примерные доходы злоумышленников и поговорим о различных способах монетизации. Далее я расскажу о том, как мы боремся с этой угрозой в Яндексе и мы немного подискутируем на эту тему. Ну и для тех кто дослушает мой доклад до конца, специальный бонус, я расскажу об одном интересном зловреде, который мне встретился относительно недавно.
  4. Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  5. Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  6. Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  7. Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  8. Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  9. Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  10. Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  11. Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  12. Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  13. Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  14. Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  15. Как происходило взаимодействие раньше, пользователь обращался к веб-сервису и получал от него что то полезное для себя. Но сейчас эта картина претерпела несколько модификаций, теперь на стороне пользователя появляется такой объект, как злонамеренный код и удаленный злонамеренный арбитр, который общается со злономеренным кодом на стороне клиента и управляет модификацией информации получаемой от веб-сервиса. Так же злонамеренному арбитру могут перенаправляться пользовательские запросы от интересующих его веб-сервисов, которые могут содержать в том числе и конфиденциальную информацию. В Яндексе такой вредоносный код мы называем “Вирусом подмены страниц”, это название выбрано не случайно.
  16. Что же такое Вирус подмены страниц, мы считаем что это - ... Может появиться вопрос, почему мы дали именно такое название, ведь оно несколько расходится с современной классификацией злонамеренных кодов от антивирусных компаний. Мы это прекрасно осознаем, но все дело в том, что пользователи Яндекса в своей подавляющей массе незнакомы с этой классификацией и наше название для них понятнее всего характеризует эту угрозу. Ну а если говорить в рамках классификации злономеренных кодов от антивирусных компаний, то Вирус подмены страниц может иметь различные проявления в разных классах вредоносного ПО.
  17. А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.
  18. А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.
  19. А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.
  20. А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.
  21. А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.
  22. А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.
  23. А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.
  24. А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.
  25. А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.
  26. А теперь давайте конкретизируем эту мысль, чаще всего можно встретить проявления вируса подмены страниц в различного рода AdWare программах. Это может быть и неизвестный toolbar, который вы поставили купившись на громкие обещания распространителей. Это могут быть и троянские программы кликеры, причем грань между AdWare и Trojan, очень тонкая и чаще всего она обусловленна только наличием пользовательского соглашения у первых. И самое удивительное, что встречаются парой довольно интересные экземпляры, которые модифицируют сетевой трафик на низком уровне использую технологии применяемые в руткитах. А теперь давайте поговорим об этом несколько по подробней.
  27. Вот примеры некоторых выжимок и из лицензионного соглашения к AdWare программам. ... Как мы видим из этих выдержек, пользователь сам соглашается на злонамеренную активность при установке себе AdWare, поэтому задача адварщиков состоит в том, чтобы пользователь не читал соглашение, а машинально кликнул по кнопке с надписью “Согласен”. Именно эта тонка грань отличает троянскую программу, от Adware, так как пользователь сам со всем соглашается. Именно по этой причине антивирусные компании относят такое злонамеренное ПО к классу Adware, а не троянских программ.
  28. А теперь давайте рассмотрим схему подмены результатов поиска на стороне пользователя в общем виде. Она состоит из нескольких итераций: - сначала злонамеренный код проверяет URL и ищет в нем интересующие его имена (yandex, google, одноклассники и т.п.), проверка может проходить, как на стороне клиента, так и ввиде перенаправления запроса третьей строне, котороя определяет уже степень интереса. - если запрос не представляет интереса для злоумышленников, тогда управление вновь возвращается веб-браузеру и дальше происходит стандартный ход событий. - а вот если запрос совпал с патернами злоумышленников, тогда третья сторона регламентирует поведение злономеренного кода и передает команды на что осуществлять подмену результатов поиска. Здесь также может быть реализована схема, когда не происходит общения с третьей стороной и все прошито непосредственно во вредоносном коде, но так как такая схема является не гибкой для злоумышленников, встречается она довольно редко. - следующим шагом вредоносный код на стороне пользователя осуществляет подмену результатов поиска и передает управление веб-браузеру.
  29. Вот так это выглядит в жизни, пользователь видит на веб-странице с результатами поиска одну информацию, а если посмотреть в свойствах этой ссылке или html-коде, там будет совсем другая ссылка. Причем на этом конкретном примере подмененные ссылки ведут на счетчик, который учитывает клики каждого конкретного зараженного пользователя. Так как у каждого пользователя есть свой UID, а у каждому экземпляру устанавливаемого злонамеренного кода присваевается свой ID. UID+ID позволяют посчитать злоумышленникам число подмененных переходов для конкретного экземпляра вредоносного кода, это им необходимо для осуществления выплат распространителям конкретных версий.
  30. Теперь хотелось бы поговорить о способах доставки этой гадости клиенту, а как показывает практика они довольно разнообразны. Первый и самый наверное известный способ это trojan-downloaders, которые осуществляют собственно доствку и инсталляцию зловреда в систему. Криминальная индустрия связанная с злонамеренными кодами довольно многогранна и trojan-downloaders это универсальное звено, которое не нацеленно на установку одной конкретной программы, а является универсальным способом доставки и зачистую после успешной инстоляции зловреда удаляют себя из зараженной системы. Следующий способ появился относительно недавно и довольно оригинален, это различные софт-порталы. С хозяином софт-портала договаривается непосредственно адварщик о распространении своей гадости и о способе оплаты, а как мы говарили ранее каждый зловред может иметь свой ID, а различные диапазоны таких ID могут соответсвовать определенным софт-порталам. Структуры который осуществляют выплаты и учет трафика называются партнерками. Так вот основная идея состоит в том, что с вполне легальной и более того известной программой в довесок идет адварь, что интересно подготовка таких двуликих дистрибутивов тоже автоматизирована. Следующий способ довольно примитивен, но тоже имеет место быть, это злонамеренные веб-ресурсы, которые предлагаю для более эфективного просмотра установить некоторый плагин, после чего они обещают полное счастье и гармонию со своим веб-ресурсом. Так же существует ряд других способов, которые имеют место быть, но встречаюся гораздо реже выше перечисленных способов, например поддельные антивирусы.
  31. Теперь хотелось бы поговорить о способах доставки этой гадости клиенту, а как показывает практика они довольно разнообразны. Первый и самый наверное известный способ это trojan-downloaders, которые осуществляют собственно доствку и инсталляцию зловреда в систему. Криминальная индустрия связанная с злонамеренными кодами довольно многогранна и trojan-downloaders это универсальное звено, которое не нацеленно на установку одной конкретной программы, а является универсальным способом доставки и зачистую после успешной инстоляции зловреда удаляют себя из зараженной системы. Следующий способ появился относительно недавно и довольно оригинален, это различные софт-порталы. С хозяином софт-портала договаривается непосредственно адварщик о распространении своей гадости и о способе оплаты, а как мы говарили ранее каждый зловред может иметь свой ID, а различные диапазоны таких ID могут соответсвовать определенным софт-порталам. Структуры который осуществляют выплаты и учет трафика называются партнерками. Так вот основная идея состоит в том, что с вполне легальной и более того известной программой в довесок идет адварь, что интересно подготовка таких двуликих дистрибутивов тоже автоматизирована. Следующий способ довольно примитивен, но тоже имеет место быть, это злонамеренные веб-ресурсы, которые предлагаю для более эфективного просмотра установить некоторый плагин, после чего они обещают полное счастье и гармонию со своим веб-ресурсом. Так же существует ряд других способов, которые имеют место быть, но встречаюся гораздо реже выше перечисленных способов, например поддельные антивирусы.
  32. Теперь хотелось бы поговорить о способах доставки этой гадости клиенту, а как показывает практика они довольно разнообразны. Первый и самый наверное известный способ это trojan-downloaders, которые осуществляют собственно доствку и инсталляцию зловреда в систему. Криминальная индустрия связанная с злонамеренными кодами довольно многогранна и trojan-downloaders это универсальное звено, которое не нацеленно на установку одной конкретной программы, а является универсальным способом доставки и зачистую после успешной инстоляции зловреда удаляют себя из зараженной системы. Следующий способ появился относительно недавно и довольно оригинален, это различные софт-порталы. С хозяином софт-портала договаривается непосредственно адварщик о распространении своей гадости и о способе оплаты, а как мы говарили ранее каждый зловред может иметь свой ID, а различные диапазоны таких ID могут соответсвовать определенным софт-порталам. Структуры который осуществляют выплаты и учет трафика называются партнерками. Так вот основная идея состоит в том, что с вполне легальной и более того известной программой в довесок идет адварь, что интересно подготовка таких двуликих дистрибутивов тоже автоматизирована. Следующий способ довольно примитивен, но тоже имеет место быть, это злонамеренные веб-ресурсы, которые предлагаю для более эфективного просмотра установить некоторый плагин, после чего они обещают полное счастье и гармонию со своим веб-ресурсом. Так же существует ряд других способов, которые имеют место быть, но встречаюся гораздо реже выше перечисленных способов, например поддельные антивирусы.
  33. Теперь хотелось бы поговорить о способах доставки этой гадости клиенту, а как показывает практика они довольно разнообразны. Первый и самый наверное известный способ это trojan-downloaders, которые осуществляют собственно доствку и инсталляцию зловреда в систему. Криминальная индустрия связанная с злонамеренными кодами довольно многогранна и trojan-downloaders это универсальное звено, которое не нацеленно на установку одной конкретной программы, а является универсальным способом доставки и зачистую после успешной инстоляции зловреда удаляют себя из зараженной системы. Следующий способ появился относительно недавно и довольно оригинален, это различные софт-порталы. С хозяином софт-портала договаривается непосредственно адварщик о распространении своей гадости и о способе оплаты, а как мы говарили ранее каждый зловред может иметь свой ID, а различные диапазоны таких ID могут соответсвовать определенным софт-порталам. Структуры который осуществляют выплаты и учет трафика называются партнерками. Так вот основная идея состоит в том, что с вполне легальной и более того известной программой в довесок идет адварь, что интересно подготовка таких двуликих дистрибутивов тоже автоматизирована. Следующий способ довольно примитивен, но тоже имеет место быть, это злонамеренные веб-ресурсы, которые предлагаю для более эфективного просмотра установить некоторый плагин, после чего они обещают полное счастье и гармонию со своим веб-ресурсом. Так же существует ряд других способов, которые имеют место быть, но встречаюся гораздо реже выше перечисленных способов, например поддельные антивирусы.
  34. Теперь хотелось бы обратить ваше внимание на маштабы распространения этой угрозы и поверьте они вас несколько удивят :).
  35. Сначала давайте поговорим о маштабах распространения AdWare на примере семейства AdWare.Win32.MyCentria (по классификации ЛК). Мы начали отслеживать вредоносную активность с ноября месяца и по наши данным тогда это было пол млн. зараженных пользователей. В том же месяце все крупные игроки антивирусного рынка добавили в свои базы этого зловреда. Причем здесь ситуация складывалась довольно интересно, одни антивирусные компании классифицировали этого зловреда, как троянца, другие как адварь. Это как раз возвращаясь к том, что грань между троянцем и адварью, очень тонкая и трактоваться она может по разному. Правдо ведь масштабы распространенности поражают, а ведь этот зловред попадал к пользователям именно через софт-порталы. Причем, если внимательно присмотреться к этому графику то влияния антивирусов на кол-во зараженных пользователей минимально и только закрытие партнерки дало снижение числа зараженных пользователей. А это говорит о том, что кол-во заразившихся значительно превышает кол-во вылечившихся пользователей. А теперь для сравнения давайте посмотрим на масштабы самого распространенного троянца-кликера по данным компании DrWeb.