Drive-by загрузки. Интернет в осаде

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, представляет аналитическую статью своего эксперта по информационной безопасности Райана Нарайна «Drive-by загрузки. Интернет в осаде». Статья посвящена методу загрузки вредоносного программного обеспечения с интернет-сайтов без ведома пользователя.

Злоумышленники устанавливают эксплойт на вредоносном сервере. Код, предназначенный для переадресации соединений на такой сервер, размещается на веб-сайте, куда посетители заманиваются с помощью спам-объявлений, распространяемых по электронной почте или размещаемых на доске объявлений в сети. И если раньше злоумышленники создавали вредоносные сайты, то в последнее время они стали заражать законопослушные веб-ресурсы, размещая на них скриптовые эксплойты или код для переадресации запросов, что делает drive-by атаки еще опаснее.

Далее [URL="http://www.viruslist.com/ru/analysis?pubid=204007649"]тут[/URL]

Для специалистов и продвинутых пользователей, это далеко не новость. По моему личному мнению последние 2-3 года основное заражения систем основной массы пользователей происходит именно через браузер путем скриптовых эксплойтов через вредоносные или хакнутые сайты. Особенно через IE 6 и 7 версии ;)
99% защиты дает использование браузера Firefox с плагином NoScript. С помощью NoScript можно разрешить исполнение JavaScript, Java (и других плагинов) только для доменов и сайтов установленных пользователем (например это может быть банковский сайт). Дополнение, основанное на принципе упреждающего блокирования позволяет предотвратить использование уязвимостей (известных и ещё не известных!) без потери функциональности, т.е. вредоносные скрипты просто блокируются. ...Сначала пользователь попадает на сайт, содержащий код, который перенаправляет запрос на сторонний сервер, на котором хранится эксплойт.... перенаправление запроса на зараженный сайт происходит с использованием JavaScript, что благополучно блокирует NoScript. Кроме того, Firefox изначально, без добавления соответствующих плагинов не поддерживает элементы управления ActiveX, что естественно большой плюс.
Ну и 1% я бы оставил антивирусному продукту проверяющему интернет-трафик :)

Единственное спасение фаерфокса в этом плагине...
Ну а для ИЕ можно другой [URL="http://virusinfo.info/showthread.php?t=2852"]продукт[/URL] использовать

[QUOTE=ALEX(XX);387906]Единственное спасение фаерфокса в этом плагине...
Ну а для ИЕ можно другой [URL="http://virusinfo.info/showthread.php?t=2852"]продукт[/URL] использовать[/QUOTE]

Я IE уже года 4 использую только для сайта Майкрасофт :) и не знаю, что такое заражения через браузер :) Хотя попробывал 8-ку, шустрая, но Лиса это уже наверное больше чем привычка :)

[QUOTE=SDA;387914]Я IE уже года 4 использую только для сайта Майкрасофт :) и не знаю, что такое заражения через браузер :) Хотя попробывал 8-ку, шустрая, но Лиса это уже наверное больше чем привычка :)[/QUOTE]
Не поверишь, я работаю с ИЕ и тоже не знаю, что такое заражение через браузер... :D

Через браузер вообще не помню случаев заражения. Сидел на IE7/8, FF3, Opera 8/9. Лазяю где только можно. А вообще последний раз заражался года 3 назад. И то по своей вине - отключил антивирусник, думал, что произошло ложное срабатывание при проверке кейгена.

[QUOTE=ALEX(XX);387906]Единственное спасение фаерфокса в этом плагине...
Ну а для ИЕ можно другой [URL="http://virusinfo.info/showthread.php?t=2852"]продукт[/URL] использовать[/QUOTE]

DropMyRights не спасает от уязвимостей Acrobat Reader, к сожалению.

[QUOTE=DVi;388095]DropMyRights не спасает от уязвимостей Acrobat Reader, к сожалению.[/QUOTE]
Спасибо за информацию.. Ну что ж.. Панацеи нет :) Но можно не использовать Acrobat Reader... Вот только всякие программисты нехорошие, иногда любят свой криворукий софт затачивать именно под него :(

Я через осла один раз заразился, когда хотел проверить, работает эксплоит или нет. :)

[QUOTE=ALEX(XX);388156]Ну что ж.. Панацеи нет[/QUOTE]
Панацеи нет. А вот защита есть.

[QUOTE=DVi;388095]DropMyRights не спасает от уязвимостей Acrobat Reader, к сожалению.[/QUOTE]
Разве права не наследуются?

[QUOTE=herzn;390315]Разве права не наследуются?[/QUOTE]
В случае Адобовского плагина - нет.

А в случае flash?

Не исследовал.

[QUOTE=DVi;388095]DropMyRights не спасает от уязвимостей Acrobat Reader, к сожалению.[/QUOTE]
А в чём причина? Можете немного просветить?

[QUOTE=ALEX(XX);390383]А в чём причина? Можете немного просветить?[/QUOTE]
Для исполнения PDF-файла запускается отдельный процесс COM-сервера, который не является потомком процесса браузера, поэтому не наследует его права, искусственно ограниченные DropMyRights.