Вредоносное ПО стало сложнее искать и блокировать

Обнаруживать и блокировать сайты с вредоносным ПО с каждым годом становится все сложнее, сообщается в новом отчете Google «Trends in Circumventing Web-Malware Detection report».

В ходе исследования было обработано около 160 миллионов страниц, размещенных на 8 миллионах сайтов. Ежедневно Google рассылает около 3 миллионов предупреждений о возможном наличии вредоносного ПО среди 400 миллионов пользователей.

Согласно данным экспертов, выросли масштабы использования методов социального инжиниринга, когда вредоносные программы маскируются под антивирусы или плагины для браузера. Однако пока количество сайтов, распространяющих их, по-прежнему не превышает 2% от общей массы источников вредоносного ПО. Чаще встречаются клоакинг по IP-адресу и drive-by загрузки, в ходе которых атакующая сторона часто меняет эксплойты, чтобы избежать обнаружения.

В отчете Google делается вывод о том, что ни один из инструментов для обнаружения вредоносных программ — ловушки на виртуальных компьютерах, эмуляторы браузеров, классификация, основанная на репутации доменов и антивирусные движки — сам по себе не является эффективным. Социальный инжиниринг ограничивает действия виртуальных компьютеров-жертв. Запутанный JavaScript, взаимодействующий с Document Object Model, позволяет избежать ловушек в эмуляторах браузеров и антивирусных движках. Легальные антивирусы и настройки компьютеров страдают от ложных срабатываний и т.д.

Вопрос о способностях Google отслеживать и блокировать вредоносное ПО был поднят после заявления Imperva о запуске хакерами более 80 тысяч поисковых запросов в день с целью выявления наименее защищенных объектов.