Video: Очистка ПК от Adware/Malware (November 2024)
Vorige week publiceerde het onafhankelijke laboratorium AV-Test zijn bevindingen uit een 18 maanden durend onderzoek waarin werd gekeken naar malware die via zoekmachines werd geleverd. Het grote stuk voor ons en onze lezers was dat Bing bijna vijf keer zoveel malware terugzond als Google, maar volgens AV-Test was het nog steeds niet de leider. Die titel ging naar de Russische zoekmachine Yandex, die sindsdien de resultaten van AV-Test heeft aangevochten.
Yandex wil antwoorden
In een verklaring stelde Yandex verschillende vragen - waarvan sommige in onze opmerkingen werden herhaald - over de methodologie van AV-Test. Yandex wilde weten hoe AV-Test malware definieerde, waarom de steekproefgroottes zo sterk varieerden, hoe de informatie voor het onderzoek werd verzameld, enzovoort.
Yandex wees er ook op dat het bedrijf zijn resultaten in de regel niet filtert op malware. "Yandex gebruikt zijn eigen antivirus technologie om gebruikers te beschermen tegen schadelijke software", leest een e-mail van het bedrijf. "Yandex markeert de geïnfecteerde webpagina's in haar zoekresultaten om gebruikers op de hoogte te stellen van onveilige inhoud. We informeren gebruikers alleen over mogelijke gevolgen en blokkeren de toegang tot de webpagina niet volledig."
AV-test reageert
Het Duitse testlaboratorium vertelde SecurityWatch dat het kwaadaardige sites definieerde als "die bekende malware verspreiden of kwaadaardig gedrag vertonen, inclusief websites met drive-by-downloads of directe downloads van kwaadaardige binaire bestanden."
Over hoe de kwaadwillende sites werden geteld, legde AV-Test uit dat het vier verificatiemethoden gebruikte. Eerst werden alle sites onderzocht op verdacht gedrag, waaronder verduisterde Javascript, verborgen iframes en ongebruikelijke omleidingen, onder andere. Sites met een van deze functies gingen vervolgens in het dynamische analysesysteem van het bedrijf, dat op zoek is naar kwaadaardig gedrag, zoals bekende exploits.
Naast dynamische analyse maakt AV-Test gebruik van lijsten met bekende schadelijke inhoud en sites. "We passen uitgebreide statische controles toe op de inhoud van de website", aldus AV-Test. "We konden dus al bekende exploits of malware-binaries identificeren op basis van onze gegevens."
Als onderdeel van hun reguliere antivirus-testen, die we routinematig behandelen, plaatst AV-Test kant-en-klare software tegen kwaadaardige URL's. Het lab integreerde vervolgens deze "real-world testing" in de studie. Het bedrijf legde uit dat "een groot deel van de verdachte URL's ook werden getest tegen antivirusproducten als onderdeel van onze reguliere openbare tests."
Verdachte URL's werden ook vergeleken met andere malwaredatabases, zoals Malwaredomainlist en Zeustracker.
Een ander soort test
AV-Test ging ook in op het punt van Yandex over hun anti-malwareoplossing en merkte op dat de zoekmachine niet de enige is die waarschuwingen in de buurt van verdachte links plaatst. "De meeste, zo niet alle zoekmachines doen dit tot op zekere hoogte", zei AV-Test tegen de beveiligingswacht.
"Maar dat was geen onderdeel van deze studie, " vervolgde AV-Test. "We hebben getest hoeveel schadelijke websites de index van de zoekmachine kunnen bereiken en daar een tijdje kunnen blijven." Dit is een cruciaal onderscheid, omdat het niet echt aangeeft welke zoekmachine "veiliger" is, maar hoe zoekmachines door de slechteriken worden gebruikt om malware te verspreiden.
AV-Test zei dat ze, om de effectiviteit van het anti-malwaresysteem van Yandex te bepalen, een nieuw onderzoek zouden moeten opzetten waarin werd gekeken hoeveel kwaadaardige websites de zoekmachine correct heeft geïdentificeerd. Zo'n studie zou ook moeten kijken of de waarschuwingen gemakkelijk te zien en correct geïnterpreteerd worden door gebruikers, hoe snel de waarschuwingen verschijnen en hoeveel valse positieven verschijnen.
Vooruit gaan
Yandex en AV-Test zijn blijkbaar bezig met "vriendelijke" gesprekken over het probleem, maar het laat nog steeds enkele vragen onbeantwoord. Eén ding is echter absoluut duidelijk: aanvallers maken actief gebruik van zoekmachineoptimalisatie om malware te verspreiden via de resultaten van zoekmachines.
Hoe zoekmachines ervoor kiezen om met dit probleem om te gaan, is aan hen en hun bedrijfsmodel. Het feit is dat hoewel Yandex andere middelen heeft om zijn gebruikers te beschermen, de schadelijke resultaten er nog steeds zijn. Hetzelfde geldt voor Google, Bing en de andere sites in het onderzoek.
De echte bedreiging
Een ander punt dat veel van onze lezers hebben besproken, was of deze tactiek al dan niet een daadwerkelijke bedreiging vormde. AV-Test erkende dat de kans dat iemand via een zoekmachine malware tegenkomt extreem klein is, maar dat is niet de game die aanvallers spelen. Ze rekenen erop dat Google alleen 2-3 miljard zoekopdrachten per dag verwerkt. Dat komt neer op ongeveer 50.000 schadelijke resultaten per dag, wereldwijd. Zoals meestal het geval is met malware-aanvallen, gaat het niet om jou, het gaat om de cijfers.
Bovendien merkte AV-Test op dat veel van deze kwaadaardige sites gebruikmaken van technieken voor zoekmachine-optimalisatie (of SEO, voor degenen die hip van de tong zijn). Dit zijn enkele van dezelfde technieken die nieuwssites en blogs helpen hun zoekresultaten te verhogen, kunstmatig of eerlijk, om opgemerkt te worden op Google. Dit zijn geen willekeurige ontmoetingen; ze zijn gericht op relevante, actuele resultaten in de hoop zo veel mogelijk slachtoffers te raken.
De afhaalmaaltijd is nog steeds hetzelfde: blijf veilig, klik slim en krijg een soort beveiligingssoftware.
