Meny
Är gratis
checka in
den huvudsakliga  /  Utbildning / Vad är skadlig kod. Vad är skadlig kod exempel script attack

Vad är skadlig kod. Vad är skadlig kod exempel script attack

Webbplatsen startade ett virus, och som ett smittat objekt blev din webbresurs till en stor källa till problem: nu gör det inte bara en vinst, men avgår också ditt rykte på internet, köpare, sökmotorer och till och med a Hoster vänds bort från dig.

Du är en på en med ditt problem och försöker lösa det egna styrkorUtan att kontakta professionella, men efter råd från "specialister" från forumet. Eller beställa behandlingen av platsen där "billigare". Vad ska man göra, eftersom det alltid vill lösa problemet så snabbt som möjligt och med de minsta kostnaderna. Men är ett sådant tillvägagångssätt alltid motiverat?

Vi är närvarande för din uppmärksamhet de bästa 7 misstagen under det senaste året som har begått en webbmästare, försöker återställa platsen efter hackning och infektion.

Fel nummer 1. Restaurering av webbplatsen från backupen som ett sätt att bli av med skadlig kod

Mycket ofta försöker problemet med infektion med en skadlig kod för en webbmästare att lösa webbplatsen Kickback till den sista rena versionen. Och fortsätt att återställa webbprojektet varje gång viruset på webbplatsen igen gör det. Tyvärr är det ett obekvämt och mycket riskabelt alternativ.

Rätt lösning: Webbplatsen behöver behandlas och sätta skydd mot hacking för att undvika återinfektion. För det första kan platsinnehållet uppdateras, nya plugins kan installeras på webbplatsen, ändringar kan göras till webbplatsskript. Varje rollback betyder att du förlorar resultaten av de senaste dagarna. Men det finns en viktigare orsak till kardinalskampen med hacking: Vad händer om en hackare en dag bestämmer sig för att förstöra din webbplats helt, eftersom den har tillgång till din webbresurs?

Fel nummer 2. Bedragande bedrägeri till slutsats av platsen från under sanktioner

Platsen går in i listan över "hotande datorsäkerhet eller mobilenhet... "på grund av viruset på webbplatsen eller omdirigera besökare till den infekterade resursen. I rutan WEB WIZARD visas exempel på infekterade sidor, men en knepig eller okunnig webmaster istället för att lösa ett problem (sök och radera en skadlig källa) raderar vissa sidor som visar sökmotorer i infektionsexempel. Eller, som ett alternativ, den helt blockera åtkomst till webbplatsen med hjälp av reglerna i robots.txt, som naivt tro på att den blockerar och åtkomst till antivirusboten till webbplatsen.

Rätt lösning: Du måste hitta en viral kod på webbplatsen och ta bort den. Förbudsindexering är inte bara värdelös, men också farlig. Först kan webbplatssidor falla ut ur sökindexet. Tja, och för det andra fungerar roboten av antivirustjänsten enligt de andra reglerna än sökmotorns regler, och förbudet mot indexering påverkar inte det.

Fel nummer 3. Använda en skadlig kodskanner med inkompetenta experter

För att spara eller av andra anledningar börjar behandlingen av webbplatsen att vara engagerad i tillräckligt förberedd specialist som inte kan bestämma 100% om fragmentet som är allokerat till den skadliga kodskannern är verkligen farlig. Som ett resultat kan två ytterligheter observeras: absolut alla misstankar om viruset avlägsnas, vilket leder till att platsen uppbryts, eller skadlig kod elimineras inte helt, vilket framkallar återkommande.

Rätt lösning: Självklart bör proffs vara engagerade i att behandla en webbresurs. Rapporten om malwareskannrar är falska svar, eftersom samma fragment kan användas både i legitim kod och hackare. Du måste analysera varje fil, annars kan du ta bort de kritiska elementen, vilket kan leda till misslyckanden på webbplatsen eller dess fulla uppdelning. Eller tvärtom finns det risk för att inte erkänna hackerskal, vilket leder till en återinfektion av webbresursen.

Fel nummer 4. Ignorerar meddelanden (i Webmaster-panelen) om närvaro av skadlig kod på webbplatsen

Anmälan av närvaron av en skadlig kod på platsen i WIZARD-panelen kan vara icke-permanent. Idag skriver systemet att viruset på din webbplats, och imorgon är tyst. Webbplatsägaren är trevligare att tro att det har funnits någon form av misslyckande i systemet, och dess hemsida är ute av misstanke. Men i praktiken är allt fel. Det finns olika typer av infektioner. Skadlig kod kan visas på platsen bara under en tid, och försvinna sedan. Det betyder att när man kontrollerar sajten kan flaskan av antivirus av sökmotorn, malware detekteras, och på det andra - nej. Som ett resultat är webmaster "avkopplande" och börjar ignorera det farliga meddelandet: "Varför slösa tid för behandling, eftersom webbplatsen inte blockerades."

Rätt lösning: Om webbplatsen inte har någon skadlig aktivitet, troligen din, webresurs hackade och smittade. Virus på webbplatsen visas inte av sig själva. Det faktum att sökmotorn har upptäckt en misstänkt kod på webbplatsen, och sedan "tyst", bör inte bara inte ignoreras av en webmaster, men tvärtom ska den fungera som larmsignal. Vem vet hur din resurs kommer att drivas imorgon? - Spam, phishing eller omdirigeringar. Du måste omedelbart utföra en sajtskanning för hackerbackor, skal, för att behandla och skydda mot hackning.

Fel nummer 5. Behandling av platser av freelancerames-icke-professionell.

I princip är det inte annat att arbeta med frilansare i denna fråga från andra sfärer. Billiga - inte alltid kvalitativt, men nästan alltid utan garantier och avtalsförhållanden. De flesta frilansare som inte specialiserar sig på webbplatsens säkerhetsfrågor arbetar med konsekvenserna av en hackerattack, men inte med orsaken - webbplats sårbarheter. Det betyder att webbplatsen kan hacka återanvända. Värre, det finns också skrupelfria artister som kan suga en annan skadlig kod på platsen, stjäl databasen, etc.

Rätt lösning: Kontakta ett specialiserat företag som behandlar behandling och skydd av webbplatser från hacking. Anställda i sådana företag varje dag avlägsnar skadlig kod, se mutationen av virus och följ utvecklingen av hackerattacker. Den mörka inbrottsmarknaden är inte på ett ställe, det utvecklar och kräver konstant övervakning och relevant svar på behandlingen och skyddet på webbplatsen från obehöriga intrång.

Fel nummer 6. Daglig / veckovis borttagning av samma virus från webbplatsen.

Detta problem gäller speciella "entusiaster", som är redo att eliminera effekterna av hackning regelbundet. Sådana webbansvariga vet redan vilka specifikt koden kommer att sättas på webbplatsen, speciellt var och när det händer. Så du kan oändligt slåss med en mobil omdirigering, som introduceras dagligen på 09-30 av en angripare till file.htaccess och omdirigerar din mobil trafik till platsen för försäljning av viagra eller porr. Bara här är inte tillräckligt: \u200b\u200bhacker bot gör det i automatiskt lägeOch du måste utföra en manuell borttagning. Inte ärlig trots allt, eller hur?

Rätt lösning: Du kan oändligt radera konsekvenserna (virus, omdirigeringar, etc.), men mer effektivt kontrollera webbplatsen för skadliga och hackerskript, ta bort dem och installera skydd mot hacking så att mer viruskod inte visas. Och den släppta tiden att spendera mer effektivt. Det viktigaste, kom ihåg att hacker redan har tillgång till din webbplats, vilket innebär att nästa gång han inte kan begränsa den skadliga koden till dig, men använda din webbplats för mer allvarliga cyberkremsor.

Fel nummer 7. Behandling av en involverad plats av antivirus för en dator

Begreppet "antivirus" för vissa webmasters är universellt, och de försöker bota en hackad och smittad plats med ett antivirus som är avsett för en dator. Säkerhetsbackupen är tillverkad och kontrollerad av en skrivbordsversion av antivirusprogram. ALAS, denna behandling kan inte ge de önskade resultaten.

Rätt lösning: Virus på webbplatsen och på datorn - inte samma sak. För att kontrollera webbplatsen måste du använda specialprogram eller åtkomstspecialister. Skrivbordsantivirus, oavsett hur bra de är, är inte avsedda att behandla webbplatser från virus, eftersom deras databas är inriktad på virus och trojaner på datorn.

Det är allt. Steg inte på samma rake!

Fördelning av skadlig programvara via webbplatser

Kostin Paradise, Kaspersky Lab

Introduktion. Cybercrime: Trender och utveckling

Under de senaste åren har Internet blivit en farlig plats. Ursprungligen skapad för ett relativt litet antal användare, överskred han väsentligt förväntningarna hos sina skapare. Idag finns det mer än 1,5 miljarder internetanvändare i världen och deras antal växer ständigt när tekniken blir alltmer överkomlig.

Kriminellen märkte också denna trend och mycket snabbt förstod att begå brott med Internet (nu kallades det CyberCrime) har ett antal betydande fördelar.

För det första är cyberbrottslighet inte relaterad till den största risken: Eftersom det inte har geopolitiska hinder är brottsbekämpande organ svåra att fånga brottslingar. Dessutom genomförde internationella undersökningar och rättsliga affärer större pengarDärför utförs sådana åtgärder vanligtvis endast i speciella fall. För det andra är cyberbrottsligheten enkel: på internet erbjuds stor mängd "Instruktioner" på hackingdatorer och skrivvirus, men inte krävde någon speciell kunskap och erfarenhet. Här är två huvudfaktorer som har blivit cyberbrottslighet i industrin vars revisioner beräknas av många miljarder dollar och som är ett riktigt stängt ekosystem.

Och företag som är engagerade i informationsskydd och mjukvaruproducenter leder en permanent kamp mot cyberbrottslighet. Deras mål är att ge online-användare tillförlitligt skydd och skapa säker programvara. Anfallarna förändrar i sin tur ständigt taktik för att motverka de antagna motåtgärderna, vilket som ett resultat ledde till framväxten av två uttalade trender.

För det första inträffar placeringen av skadliga program med hjälp av nolldags sårbarheter, d.v.s. Sårbarheter för vilka patchar ännu inte har skapats. Med sådana sårbarheter kan även sådana sårbarheter vara smittade datorsystemsom är installerade alla senaste uppdateringarnaMen det finns inga speciella skyddslösningar. Nolldags sårbarhet är en värdefull produkt (deras användning kan potentiellt leda till allvarliga konsekvenser), den säljs på den svarta marknaden för tiotusentals dollar.

För det andra ser vi en kraftig ökning av mängden malware som skapas specifikt för stöld av konfidentiell information för att ytterligare sälja den på den svarta marknaden: kreditkortsnummer, bankuppgifter, lösenord för tillgång till webbplatser som eBay eller Paypal, och till och med Lösenord till online-Agra, till exempel till World of Warcraft.

En av de uppenbara orsakerna till ett sådant omfattning av cyberbrottslighet är dess lönsamhet, vilket alltid kommer att vara en motor för att skapa ny cyberkrime.

Förutom utvecklingen, som hålls för behoven hos cyberkriminella, noterar vi en annan trend - spridningen av skadliga program via World Wide Web. Efter epidemierna i början av det nuvarande decenniet som orsakats av sådana postmaskar som Melissa, fokuserade många företag - tillverkare av informationsskyddssystem sina ansträngningar för utvecklingen av lösningar som kunde neutralisera skadliga investeringar. Ibland ledde det till det faktum att alla körbara bilagor avlägsnades i meddelanden.

Den främsta källan för spridning av skadlig kod har dock blivit den viktigaste källan till skadlig kod. Skadliga program placeras på webbplatser, och då kan antingen användare att de inte kan köra demuellt, eller dessa program som använder exploater exekveras automatiskt på infekterade datorer.

Vi är i "Kaspersky Lab" med ett växande larm observerar vad som händer.

Statistik

Under de senaste tre åren tittade vi på de så kallade rena webbplatserna (från 100 000 till 300 000) för att bestämma vid vilken tidpunkt de blev spridningspunkter för skadliga program. Antalet spårade platser har ständigt ökat eftersom nya domäner är registrerade.

Tabellen visar den registrerade maximala infektionshastigheten för webbsidor som spåras under året. Självklart en kraftig ökning av andelen infekterade webbplatser: Om år 2006 var smittat med ungefär varje plats från tjugo tusen, då det visade sig vara smittade med varje plats från ett hundra femtio. Andelen infekterade platser varierar i området för denna sista siffra, vilket kan innebära uppnåendet av mättnadspunkten: alla webbplatser som kan infekteras infekterades. Men deras antal ökar eller minskar som nya sårbarheter eller uppkomsten av nya verktyg som tillåter angripare att infektera nya webbplatser.

Följande två tabeller innehåller data om skadliga program som oftast träffades på webbplatser 2008 och 2009.

10 ledande malware - 2008

10 ledande skadliga program - 2009

Under 2008 hittades Trojan-programmet Trojan-Clicker.js.Agent.h i ett stort antal fall. Bakom det med en marginal på mindre än 1% följer Trojan-downloader.js.iframe.oj.

Sida, infekterad trojan-clicker.js.agent.h

Fodded trojan-clicker.js.agent.h

Trojan-Clicker.js.Agent.H är ett typiskt exempel på en mekanism som användes 2008 och används fortfarande (2009) för att introducera skadlig kod. En liten JavaScript-snippet läggs till på sidan, som vanligtvis utsätts för obfuscations för att göra det svårt. I koden som visas i figuren ovan består obfuscationen helt enkelt i substitution av ASCII-tecken som utgör skadlig kod, deras hex-koder. Efter dekryptering av koden är i regel en flytande ram (iframe) som leder till den plats som utnyttjas. Den IP-adress som länken utförs kan variera, eftersom exploaterna placeras på en mängd olika platser. På huvudsida Skadlig webbplats utnyttjas vanligtvis för IE, Firefox och Opera. Trojan-downloader.js.iframe.oj liknar både den andra frekvensen av användningen av ett skadligt program.

Under 2009 fanns det två intressanta fall då skadliga program distribuerades via webbsidor. I det första fallet pratar vi om Net-Worm.js.asfrexor.a, först upptäckt i juli 2008 och spreds i stor utsträckning 2009. Denna skadlig kod med hjälp av ett speciellt verktyg hittar SQL-sårbarhet på webbplatser genom vilka de skadliga flytande ramarna introducerar.

Ett annat intressant fall är ett skadligt gumblarprogram. Hon namngavs av namnet på den kinesiska domänen som brukade sprida exploater. "Gumblar" -strängen i obfuscation av JavaScript-koden, "Undressed" till webbplatsen, är ett troende tecken på att webbplatsen är infekterad.

Ett exempel på introduktionen av gumblar-koden till webbplatssidan

Efter deoBfalling ser den skadliga koden Gumblar ut så här:

Avkodad gumblar kod

Domänen "gumblar.cn" stängdes, vilket emellertid inte hindrade cyberkriminella att fortsätta skadliga attacker från nya domäner.

Metoder för infektion och distributionsmetoder

För närvarande finns det tre huvudsakliga sätt att infektera webbplatser av skadlig kod.

Den första populära metoden är att använda sårbarheter på webbplatsen själv. Till exempel, implementeringen av SQL-koden, som låter dig lägga till en skadlig kod på sidan. Attack Tools, som Trojan Aspxor, visar tydligt driftsmekanismen för denna metod: de kan användas för massskanning och implementera skadlig kod för tusentals IP-adresser samtidigt. Spår av sådana attacker kan ofta ses i webbserverns åtkomstloggar.

Den andra metoden innefattar infektion av webbplatsutvecklarens dator, som övervakar skapandet och laddningen av HTML-filer och implementerar sedan den skadliga koden till dessa filer.

Slutligen är en annan metod en infektion i Trojan, styrlösenord (som Ransom.Win32.Agent.ey) hos en webbsite Developer-dator eller annan person med tillgång till värdkontot. En sådan trojan riktar sig vanligen till HTTP-servern för att överföra lösenord till FTP-kontona, som den samlar från populära FTP-klienter, till exempel FileZilla och CuteFTP. En del av ett skadligt program som finns på servern registrerar den mottagna informationen till SQL-databasen. Sedan specialprogramOckså placerad på servern, utför inloggningsproceduren till alla FTP-konton, extraherar indexsidan, lägger till en kod som är infekterad med Trojan och laddar upp sidan tillbaka.

Sedan i det senare fallet blir kontouppgifterna från värdleverantören känt till angripare, då upprepad infektion av webbplatser ofta äger rum: webbsidans utvecklare märker infektion själva eller ta reda på det från platsbesökare, rengör sidan från skadlig kod, och nästa dag visar sidan igen smittad.

Ett exempel på en webbsidans reinfektion (*. * 148.240)

En annan vanlig situation är när information om samma sårbarhet eller kontouppgifter på värden samtidigt faller i händerna på olika cybergroups, mellan vilka kampen börjar: varje grupp försöker infektera webbplatsen med sitt skadliga program. Här är ett exempel på en sådan situation:

Ett exempel på en multipel infektion på webbplatsen (*. * 176,6) med olika skadliga program

06/11/2009 Webbplats som vi observerade var ren. 07/05/2009 Det finns ett skadligt program Trojan-Clicker.js.gent.gk. 07/15/2009 Webbplatsen visar sig vara smittade med en annan skadlighet, trojan-downloader.js.iframe.bin. Tio dagar senare är webbplatsen infekterad med ett annat program.

Denna situation finns ganska ofta: webbplatser kan smittas samtidigt av olika skadliga program, vars kod placeras en efter en. Detta händer när åtkomstdata faller i händerna på olika cybergroups.

Följande är en sekvens av åtgärder som måste utföras om webbplatsen är infekterad med skadlig kod:

  • Installera vem som har tillgång till värdservern. Börja kontrollera sina datorer med Internet-säkerhet med en relevant databas. Ta bort alla detekterade skadliga program
  • Installera ett nytt tillförlitligt värdlösenord. Pålitligt lösenord Måste bestå av tecken, siffror och specialerbjudanden för att komplicera sitt urval
  • Byt ut alla infekterade filer med rena kopior
  • Hitta alla säkerhetskopior som kan innehålla infekterade filer och bota dem.

Vår erfarenhet visar att infekterade webbplatser efter behandling ofta utsätts för återinfektion. Å andra sidan är det vanligtvis bara en gång: Om, efter den första infektionen, kan webmaster begränsa relativt ytaktioner, i händelse av en återinfektion, tar det vanligtvis allvarligare åtgärder för att säkerställa webbplatsens säkerhet.

Evolution: Placera malware-program på "rena" webbplatser

För några år sedan, när cyberkriminella började aktivt använda webben för att placera skadliga program, handlade de vanligtvis genom den så kallade missbrukande värden eller genom hosting, där de betalades av kodade kreditkort. Att märka denna trend, företag som arbetar inom Internet-säkerhet, kombinerat sina ansträngningar i kampen mot skrupelfria värdleverantörer som möjliggör placering av skadliga resurser (som den amerikanska värdleverantören McColo och den estniska leverantören. Och även om det idag finns det fortfarande fall När det finns fall placeras skadliga program exakt på skadliga webbplatser, till exempel i Kina, där det fortfarande är svårt att stänga platsen, en viktig tur mot placeringen av skadliga program på "ren" och fullt förtjänt domänförtroende.

Åtgärd och reaktion

Som vi redan har talat är en av de viktigaste aspekterna av en konstant kamp mellan cyberkriminella och antiviruslösningar möjligheten att reagera snabbt på vad motståndaren gör. Båda sidorna förändrar ständigt taktiken i kampen och den nya tekniken sätts i drift, försöker motverka fienden.

De flesta webbläsare (Firefox 3.5, Chrome 2.0 och Internet Explorer 8.0) är nu inbäddade i form av ett URL-filter. Detta filter tillåter inte användaren att ange skadliga platser som innehåller exploater för kända eller okända sårbarheter, liksom att använda sociala tekniska metoder för stöld av personuppgifter.

Till exempel använder Firefox och Chrome Google Safe Browsing API, gratis service Från Google för att filtrera webbadresser. Vid skrivningstillfället innehöll Google Safe Browsing API-listan cirka 300 000 adresser av kända skadliga webbplatser och mer än 20 000 adresser till phishing-webbplatser.

Google Safe Browsing API har ett rationellt tillvägagångssätt för att filtrera webbadresser: istället för att skicka varje webbadress till en extern resurs för kontroll, hur det här gör ett phishing-filter i Internet Explorer 8, kontrollerar Google Safe-surfning URL: erna enligt deras kontroller, beräknat enligt MD5-algoritm. Så att en sådan filtreringsmetod är effektiv, bör listan över kontrollbelopp av skadliga adresser uppdateras regelbundet. Uppdateringar rekommenderas att utföra var 30: e minut. Nackdelen med denna metod är som följer: antalet skadliga webbplatser är större än antalet ingångar i listan. För att optimera storleken på listan (nu är det ca 12 MB), bara de vanligaste skadliga platserna kommer dit. Det betyder att även om du använder program som stöder liknande tekniker, är din dator fortfarande i riskzonen för infektion när du besöker skadliga webbplatser som inte gick in i listan. I allmänhet visar den breda användningen av teknik för säker navigering att webbläsareutvecklare uppmärksammade en ny tendens att sprida skadliga program via webbplatser och ta svar. Faktum är att webbläsare med inbyggt skydd redan blir normen.

Slutsats

Under de senaste tre åren har antalet legitima webbplatser som smittats med skadliga program ökat dramatiskt. Idag är antalet infekterade webbplatser på internet hundra gånger för mer än tre år sedan. Ofta besökta platser är attraktiva för cyberkriminella, för med hjälp på kort tid kan du infektera ett stort antal datorer.

Webmasters kan erbjuda flera enkla tips om hur du säkra webbplatser:

  • Skydda värdkonton med pålitliga lösenord
  • För att ladda ner filer till servrar, använd SCP / SSH / SFTP-protokollen istället för FTP - så att du skyddar dig från att skicka lösenord på Internet i den öppna texten.
  • Installera antivirusprodukten och kör en datorkontroll.
  • Har många flera säkerhetskopior på platsen i lager för att kunna återställa det vid infektion.

När du navigerar på Internet finns det flera faktorer som ökar risken för infektion med en skadlig kod från en webbplats: användningen av piratprogramvara, ignorerar uppdateringar som stänger sårbarheter som används av programvara, brist på viruslösningar och allmän okunnighet eller ofullständig förståelse av hot på Internet.

Piratprogram spelar en viktig roll vid spridningen av skadliga program. Piratkopior Microsoft Windows.brukar inte stödja automatiska uppdateringarMacrosoft tillverkad av Microsoft, vilket ger cyberkriminella möjligheten att använda oskyldiga sårbarheter i dessa produkter.

Dessutom, gammal internetversion Explorer, fortfarande den mest populära webbläsaren, har ett stort antal sårbarheter. I de flesta fall är Internet Explorer 6.0 utan installerade uppdateringar oskyddade från de skadliga effekterna av någon skadlig webbplats. På grund av detta är det oerhört viktigt att undvika att använda piratprogramvara, speciellt piratkopior av fönster.

En annan riskfaktor är en dator utan ett installerat antivirusprogram. Även om de senaste uppdateringarna är installerade i själva systemet kan det tränga in en skadlig kod genom nolldags sårbarheter i program från tredje part. Uppdateringar antivirusprogram brukar producera mycket oftare än patchar till programvaruprodukteroch säkerställa systemets säkerhet under perioden då korrigeringarna ännu inte har släppts till sårbarheter åt sidan.

Och även om det behövs den nödvändiga säkerhetsnivån, är installationen av uppdateringar för program viktig, den mänskliga faktorn spelar en viktig roll. Till exempel kan användaren vilja titta på den "intressanta videon", nedladdad från nätverket, utan att misstänka att istället för den video han kastades av ett skadligt program. Ett sådant knep används ofta på skadliga webbplatser om exploaterna inte går in i operativ system. Detta exempel visar varför användare behöver veta vilken fara som representerar Internethot, särskilt de som är relaterade till sociala nätverk (Web 2.0), nyligen aktivt attackerade cyberkriminella.

  • Hämta inte piratprogram
  • Uppgradera över tiden: operativsystem, webbläsare, program för att visa PDF-filer, spelare, etc.
  • Installera och använd alltid en antivirusprodukt, till exempel Kaspersky Internet Security 2010
  • Ta regeln att göra dina anställda varje månad har gett flera timmar för att studera säkerhetswebbplatser som www.viruslist.com, där de kan lära sig om internethot och skyddsmetoder.

Slutligen, kom ihåg: varna infektion lättare än botad. Ta säkerhetsåtgärder!

För närvarande uppstår de flesta datorattacker när de besöker skadliga webbsidor. Användaren kan vara vilseledande genom att tillhandahålla konfidentiella data om phishing-webbplatsen eller bli offer för enhetens nedladdning med hjälp av webbläsare. Således bör modernt antivirus ge skydd inte bara direkt från skadlig programvara utan också från farliga webbresurser.

Anti-viruslösningar använder olika metoder för att identifiera webbplatser med skadlig programvara: jämförelse av signaturdatabasen och heuristisk analys. Signaturer används för exakt definition Berömda hot, medan heuristisk analys bestämmer sannolikheten för farligt beteende. Att använda virusbasen är en mer tillförlitlig metod som ger ett minimalt antal falska positiva. men den här metoden Tillåter inte detektera okända nyaste hot.

Det hot som uppträdde först bör detekteras och analyseras av personalen i antivirusleverantörslaboratoriet. Baserat på analysen skapas en lämplig signatur, som kan användas för att hitta skadlig programvara. Tvärtom används den heuristiska metoden för att identifiera okända hot på grundval av misstänkta beteendefaktorer. Den här metoden Bedömer sannolikheten för fara, därför är falska svar.

När skadliga referenser detekteras kan båda metoderna fungera samtidigt. För att lägga till en farlig resurs till listan över förbjudna webbplatser (svartlista) är det nödvändigt att analysera genom att ladda ner innehållet och skanna det med ett antivirus- eller intrångsdetekteringssystem (intructionssystem).

Nedan är loggen för Suricata IDS-systemhändelseloggen när du blockerar Exploits:

Ett exempel på en IDS-systemrapport som indikerar hot som definieras av signaturer:

Ett exempel på ad-aware antivirusvarning när du besöker en skadlig webbplats:

Heuristisk analys utförs på klientsidan för att verifiera de besökta platserna. Speciellt utformade algoritmer varnar användaren om den besökta resursen är i farliga eller misstänkta egenskaper. Dessa algoritmer kan byggas på en lexisk analys av innehållet eller på bedömningen av resursplatsen. Den lexiska modellen för definition används för att varna användaren under phishing-attacker. Till exempel, URL-adressen till arten " http://paypall.5gbfree.com/index.php."eller" http://paypal-Intern.de/secure/"Lätt definierad som phishing-kopior av kända betalningssystem "Paypal".

Analys av resursboende samlar in information om värd och ett domännamn. Baserat på de erhållna data bestämmer den specialiserade algoritmen graden av fara för platsen. Dessa data inkluderar vanligtvis geografiska data, information om inspelaren och den person som registrerade domänen.

Nedan är ett exempel på placering av flera phishing-platser på en IP-adress:

I slutändan, trots de många sätten att utvärdera webbplatser, kan varken IT-tekniken ge ett 100% garantiskydd för ditt system. Endast den gemensamma användningen av flera dataskyddsteknik gör att du kan ge ett förtroende för att skydda personuppgifter.

  • användare klagar på att webbplatsen är blockerad av en webbläsare och / eller program
  • webbplatsen ingår i den svarta Google-listan eller till en annan databas med skadliga webbadresser.
  • det har varit allvarliga förändringar i volymen av trafik och / eller i sökmotor ranking
  • webbplatsen fungerar inte som det borde, ger fel och varningar
  • efter att ha besökt webbplatsen beter sig datorn konstig.

Ofta förblir skadlig kod obemärkt under lång tid, särskilt när det gäller infekterad av mycket komplex skadlig kod. Sådan skadlig programvara är vanligtvis starkt beskrivet för vilseleda och administratörer av webbplatser och antivirusprogram; Det ändrar domännamnen hela tiden som användarna omdirigeras, så de svarta listorna. Om det inte finns något av ovanstående symptom är det här en bra siffra av din serverns renlighet, men tyvärr, inte 100%; Var därför vaksam mot någon misstänkt aktivitet.

Det mest uppenbara tecknet på infektion med någon skadlig programvara är närvaron av en skadlig / misstänkt kod i en eller flera filer - främst i HTML, PHP eller JS-format, och under en tid ASP / ASPX. Denna kod är inte lätt att hitta innehav av åtminstone grunden för programmering och webbutveckling. För att läsaren bättre ser ut som en skadlig kod, vi ger några exempel på den vanligaste infektionen av webbsidor.

Exempel 1: Enkel omdirigering

Den äldsta och enklaste metoden som används av cyberkriminella är att lägga till en enkel HTML IFRAME-tagg till HTML-filkoden på servern. Adressen som används för att ladda den skadliga webbplatsen i IFRAME anges som SRC-attributet; Synlighetsattributet med det "dolda" värdet gör ramen osynlig för användaren som deltar på webbplatsen.

Figur 1: Skadlig Iframe inuti HTML-webbplatsen på webbplatsen

En annan metod att göra ett skadligt skript i användarbrowser är introduktionen av länkar till det här skriptet till HTML-filen som SRC-attributet i skriptetiketter eller IMG:

Figur 2: Exempel på skadliga länkar

Nyligen finns det alltmer fall när den skadliga koden genereras dynamiskt och implementeras i HTML-koden av skadliga JS eller PHP-skript. I sådana fall är koden endast synlig i representationen av källkoden på sidan från webbläsaren, men inte i fysiska filer på servern. Cyberkriminella kan dessutom bestämma villkoren när den skadliga koden måste genereras: till exempel, endast när användaren flyttade till en webbplats från vissa sökmotorer eller öppnade en webbplats i en viss webbläsare.

För att lura och ägaren till webbplatsen, och antivirusprogram, samt göra en skadlig kod, använder cyberkriminella en mängd olika kod obfuscation metoder.

Exempel 2: "Fel 404: Sidan hittades inte"

I det här exemplet är skadlig kod inbäddad i meddelandemallen, som visas när det angivna objektet inte hittades på servern (det välkända "felet 404"). Dessutom implementeras index.html / index.php-filerna av en länk till något obefintligt element för att omärkligt ringa detta fel varje gång en användare har besökts av användarens infekterade webbsida. Denna metod kan provocera viss förvirring: En person som ansvarar för webbplatsen får ett meddelande om att en viss antiviruslösning markerade webbplatsen som infekterad; Efter ytkontrollen visar det sig att den skadliga koden hittades i objektet, vilket tydligen inte existerar; Detta leder till en frestelse att anta (felaktigt) att det var ett falskt larm.

Figur 3. Trojan.js.iframe.Zs - skadligt skript i felmeddelandet mall 404

I det här fallet var skadlig kod obfussed. Efter deOBFUSCATION kan vi se att syftet med skriptet är införandet av IFRAME-taggen, som kommer att användas för att omdirigera användare till en skadlig URL.

Figur 4. Trojan.js.iframe.zs - skadlig kod efter deoBfuscation

Exempel 3: Selektiv MAL-kodimplementering

En liknande kod kan genereras och delta dynamiskt (dvs beroende på de specifika förhållandena) till alla HTML-filer som finns på servern med ett skadligt PHP-skript nedladdat till samma server. Skriptet som visas i följande exempel kontrollerar den användargrena parametern (som skickas till användarbläddraren, liksom sökrutor) och lägger inte till en skadlig kod om webbplatsen skannas av bot eller om besökare njuter av opera webbläsareeller safari. Således kommer användare av webbläsare oskadliga för ett specifikt utnyttjande som används för attack att omdirigeras till detta utnyttjande. Det är också värt att notera att kommentarer i koden är avsiktligt vilseledande, vilket leder till tanken att det här skriptet har något att göra med botstatistiken.

Figur 5. Trojan.php.iframer.e - Kod Infektion av PHP-skript

Denna metod kan också användas i motsatt riktning: cyberkriminella kan implementera referenser som leder till olagligt, tvivelaktigt eller skadligt innehåll (spam, spionprogram, programvara, phishing resurser) endast om sökbåten gick in på webbplatsen. Syftet med en sådan attack är den så kallade svarta optimeringen - mekanismen för att höja positionen för cyberbrottsresursen i sökandet efter utlämning. Sådan skadlig programvara riktas vanligtvis till populära webbportaler med hög betyg, och det är ganska svårt att upptäcka, eftersom skadlig kod aldrig visas den vanliga användaren. Som ett resultat får skadliga webbplatser ett högt betyg i sökmotorer och visar sig vara i de övre stadierna av sökresultaten.

Exempel 4: Yta obfucration

Infektion av PHP-skript kan också ta andra former. Följande är två exempel upptäckt för flera månader sedan.


Figur 6. Trojan-downloader.php.kscript.a-tryck php script


Figur 12. Trojan-Downloader.js.twetti.t - skadlig kod implementerad i JS-filer

Slutligen finns det ett känt fall av massinfektion av skadlig kod, som använder slumpmässiga domännamn. När det gäller infektion med denna skadlig kod kan du upptäcka följande kod på din webbplats:

Figur 13. En komponentversion av kod som omdirigerar en domän till slumpmässigt genererad

Exempel 6: "gootkit" och motverkar hela filen

Den obfuserade skadliga koden är lätt att upptäcka bland resten av den rena koden, och därför kom nyberkriminella tankarna att följa innehållet i filen helt och därmed oläslig både inbäddad och legitim kod. Det är omöjligt att skilja den legitima koden från skadlig, och du kan bota filen först efter det att den är dekryptering.

Fikon. 14. Fil, beskriven av Malware "Gootkit"

Det är lätt att bli av med den första nivån av obfuscation, för detta behöver du bara ändra funktionen () -funktionen för att varna () - eller skriva ut () i händelse av konsolen - och kör den på körning. Den andra nivån är något mer komplicerad: I det här fallet används domännamnet som en nyckel för att kryptera kod.

Fikon. 15: "gootkit" - en andra nivån av obfuscation

Efter dekryptering kan du se en skadlig kod som gäller för det ursprungliga innehållet i filen:

Fikon. 16: "gootkit" - DeoBfuscated Code

Ibland visar en skadlig del vara den andra versionen av skadlig kod, som diskuterades i föregående exempel och används för att generera ett pseudo-slumpmässigt domännamn för omdirigering.

Exempel 7: .htaccess

I stället för infektion av skript och HTML-koder kan cyberkriminella kan använda möjligheterna hos vissa filer, till exempel. I sådana filer kan administratören identifiera åtkomsträttigheter till specifika mappar på servern, såväl som under vissa omständigheter, omdirigera användare till andra webbadresser (till exempel om användaren kommer från en mobila enhetens webbläsare, omdirigeras den till mobilversion Hemsida). Det är inte svårt att gissa hur cyberkriminella använder sådan funktionalitet ...

Fikon. 17: Malicious.htaccess.

I exemplet ovan omdirigeras alla användare som befinner sig på den här webbplatsen efter länken i de flesta större sökmotorer (http_referer-parameter) till en skadlig URL. Dessutom har i den här filen ett tillräckligt stort antal webbläsare och bots, för vilka omdirigering inte görs (http_user_agent-parametern). Omdirigeringen uppstår inte också om webbsidan läses från cacheminnet (referens \u003d\u003d cache) eller laddad från samma dator (cookie-parameter).

Sådan skadlig kod gör det möjligt att genomföra mer selektiva infektioner - till exempel kan specifika IP-adresser uteslutas, och när du tittar på webbplatser från ett specifikt område av IP-adresser - till exempel, ägs av bolaget informationssäkerhet - Utfärdandet av skadliga resultat är frånvarande.

Vektorer av angrepp och teknik av infektion

Oavsett vilken teknik som används, behöver cyberkriminella att hitta en metod för att leverera skadliga filer till en server eller modifierande filer som redan finns på servern. Den mest primitiva metoden för att få tillgång till servern är ett hackningsåtkomstlösenord. För att göra detta kan cyberkriminella kan använda den så kallade attacken med metoden för berusande eller dess begränsade version - utföringsformen av blåmärken (vokabulärattack). Sådan taktik kräver vanligtvis en stor tid och resurser, därför används det sällan med massiv infektion av webbplatser. Bland de mer populära scenarierna är operationen av sårbarheter och skadlig kod för att stjäla lösenord.

Använda innehållshanteringssystemets sårbarheter / e-handelssystem

De flesta av de moderna webbplatstransplattformarna (som Content Management System (CMS), e-handel, kontrollpanel etc.) är ofullkomliga och har sårbarheter som tillåter andra personer utan autentisering att ladda upp filer till servern. Och även om sökandet efter sådana sårbarhetsutvecklare leder ständigt, tar frisättningen av fläckar mycket tid. Dessutom fortsätter många användare att använda gamla versioner av program med stor kvantitet Fel. Oftast är sårbarheter naturligtvis i de mest populära plattformarna, till exempel Wordpress, Joomla och Oscommerce.

Ett välkänt exempel på sådan sårbarhet är timthumb, som används i stor utsträckning av cyberkriminella i en mängd olika scenarier. TimThumb - PHP-modul för att ändra storleken på bilder och skapa så kallade grafiska miniatyrbilder som ingår i de flesta av CMS-e-fallmallarna. Med sårbarhet kan du spela in filer som finns på en fjärrmaskin till servern, till cachekatalogen. Ett annat exempel är en sårbarhet SQL-injektion I PLESK-panelen (version 10 och äldre), som hittades i februari 2012, så att du kan läsa databaser och stjäla lösenord, som - tills de nyligen lagrades uttryckligen. Registreringsdata som erhållits på ett sådant sätt användes troligen med en ny massa webbepidemi http://www.securelist.com/sv/blog / 208193624/who_is_attacking_me; https://www.securelist.com/ru/blog /208193713/runforestrun_gootkit_i_generirovanie_sluchasyynykh_domnykh_imen.

Använda spionprogram för att stjäla referenser för att komma åt FTP-servern

I de vanligaste webbinfesserna (till exempel gummiblar och PEGEL) var en annan metod framgångsrik. Vid det första steget distribuerar cyberkriminella skadliga program som är utformade speciellt för att söka och stjäla användarnamn och lösenord till FTP-konton genom att kontrollera FTP-klientinställningarna eller skanna nätverkstrafik. Efter att ha hittat malware av dessa registreringsdata på en infekterad webbplatsadministratörs webbplats etablerar programmet en anslutning till FTP-servern och laddar skadliga skript eller skriver sin infekterade version istället för de ursprungliga filerna. Det är självklart att så länge datorn av kontot för kontot är infekterat, blir de filer som är lagrade på servern igen och återigen uppblåst även efter att du har ändrat registreringsdata och återställ hela innehållet från nätbackupen.

Mål för cyberbrottslighet

Vad är syftet med infektion av webbplatser?

  • vidarebefordra användare för utnyttjande av en osynlig installation av skadliga program på sina datorer;
  • vidarebefordra användare på spam, phishing och annat skadligt, olagligt eller oönskat innehåll
  • avlyssning / stöld av platsbesök / sökfrågor.
  • främjande av skadliga / olagliga webbplatser och webbplatser som innehåller spam (svart optimering);
  • använda serverresurser för olaglig aktivitet.

I huvudsak finns det inget nytt här: När du bär webbplatser flyttar cyberkriminella önskan att få indirekta vinster.

Metoder för eliminering av skadlig kod

Vad händer om din webbplats attackerade hackare?

För det första, om du observerar de symptom som pratar om en eventuell infektion, är det nödvändigt att omedelbart avaktivera webbplatsen tills problemet elimineras. Detta är verkligen extremt viktigt eftersom varje ögonblick av fördröjning spelar på handen av cyberkriminella, så att du kan infektera ännu fler datorer och distribuera infektion i hela. Du bör kontrollera serverns loggar för misstänksam aktivitet, till exempel, konstiga förfrågningar från IP-adresser i länder som är okarakteristik för besökare, etc. - Det kan vara användbart för att upptäcka smittade filer och definitioner, exakt hur cyberkriminella har tillgång till servern.

Men hur man hanterar skadlig kod?

Säkerhetskopia

Den snabbaste I. pålitlig väg Återställ hela innehållet på servern - med en ren säkerhetskopiering. För att göra det effektivt är det också nödvändigt att göra en fullständig installation av programvara som körs på servern (Content Management Systems / CMF, E-Commerce System, etc.). Naturligtvis behöver du använda de senaste, helt uppdaterade versionerna. Efter dessa åtgärder bör det inte finnas några infekterade filer på servern - förutsatt att du raderade allt innehåll före återhämtning, och säkerhetskopieringen har skapats innan attacken börjar.

Automatisk kontroll

Om det inte finns någon net backup, har du inget att börja kämpa med skadlig programvara. Lyckligtvis finns det ett antal automatiserade lösningar som hjälper till att hitta skadlig kod - inklusive anti-virusprodukter och online webbskannrar, till exempel http://sucuri.net/. Ingen av dem är idealisk, men i fallet med välkänd / vanlig skadlig programvara kan de alla vara mycket användbara. Låt oss börja med det faktum att du kan kontrollera webbplatsen med flera online-skannrar. Några av dem kommer inte bara att avgöra om din webbplats är verkligen infekterad, men också ange en skadlig kod i dina filer. Då kan du göra en komplett antiviruskontroll av alla filer på servern.

Om du är serverns ägare eller om den är på servern fungerar det säkerhetslösningAnvändningen av vilken du har rättigheter, du kan kolla på serverns sida. Se till att du har skapat en kopia av dina filer, eftersom vissa antivirusskannrar inte behandlar infekterade filer, men ta bort dem! Du kan också ladda ner innehållet på din server till en lokal dator och kontrollera den med en antiviruslösning för en stationär dator. Det andra alternativet är att föredra, eftersom de flesta moderna antivirusprogram för stationära datorer har en välutvecklad heuristisk modul. Skadliga program som påverkar webbplatser, mycket polymorfisk: och om, vid bekämpning av det, kan signaturanalysen praktiskt taget värdelös, tillåter heuristiken att de lätt kan upptäckas.

Manuell borttagning

Om en automatisk kontroll Det gav inte resultat och rapporteringen av infektionen på din webbplats kommer fortfarande, det enda sättet att bli av med skadlig kod är att hitta den manuellt och radera all skadlig kod. Denna svåra uppgift kan ta en betydande tid, eftersom det är nödvändigt att kontrollera varje fil - vare sig HTML, JS, PHP eller Configuration-fil - för skadliga skript. Exemplen ovan är bara en liten del av en mängd olika skadliga program för webbplatser, så sannolikheten för att skadlig kod på din webbplats kommer att delvis eller helt annorlunda än dessa prover. Ändå har det mesta av den moderna malware för webbplatser några vanliga egenskaper, och dessa funktioner hjälper till att bestämma problemet.

Mest av allt är det nödvändigt att uppmärksamma de delar av koden som ser oklart eller oläsligt. Kod Obfusion - Technology, som ofta används, är ganska ovanlig för någon annan programvara relaterad till webbplatser. Om du inte följde koden själv, har du någon anledning att ha misstankar om det. Men var försiktig - skadlig kommer inte att vara all den obfuscated code!

På samma sätt är det inte något skadligt skript obfuss, så det är vettigt att söka om iframe-taggar uttryckligen och andra länkar till externa resurser i alla dina filer. Några av dem kan vara relaterade till reklammeddelanden och statistik, men kom inte in i fiskestången med specialformade webbadresser, som kan förvirra, ha en typ av adresser till kända och betrodda portaler. Glöm inte att kontrollera koden för mallfelmeddelanden, liksom alla filer.htaccess.

Användbara verktyg för att hitta en skadlig kod på servern är utan tvekan grep och hitta - Verktyg som fungerar i kommandoradsläget, som standard, aktiverat i nästan alla system på uNIX-baserad bas. Nedan följer exempel på deras användning vid diagnosen av de vanligaste infektionerna:

grep -irs "iframe" *
grep -irs "eval" *
grep -is "unsescape" *
grep -rs "base64_decode" *
grep -irs "var div_colors" *
grep -irs "var _0x" *
grep -rs "corelibrariesHandler" *
grep -rs "pingnow" *
grep -rs "serchbot" *
grep -irs "km0ae9gr6m" *
grep -rs "c3284d" *
hitta. -Innamn "updat.php"
hitta. -Innamn "* timthumb *"

GREP Beskrivning (från Linux Manual): Skriv ut linjer som motsvarar mallen; Alternativ -i betyder att ignorera registret; -R betyder rekursiv sökning, och -s förhindrar visning av felmeddelanden. Den första av de listade kommandona letar efter iFrame Tag-filer; Tre andra letar efter de mest uppenbara tecknen på obfuscation; Resten letar efter speciella linjer i samband med den största kända infektionen av webbplatser.

Som för hittad indikerar Linux-manualen: Sök efter filer i den mapphierarkiska strukturen; "." (Point) Indikerar den aktuella katalogen (så kör kommandotillståndet Följer från katalogen Rotkatalog eller Hem (Hem) på servern), the-Iname-parametern bestämmer filen som ska signeras. Kan användas vanliga uttryck Att söka efter alla filer som motsvarar vissa kriterier.

Naturligtvis behöver du alltid veta vad du ska söka - inte alla resultat kommer att indikera infektion. Inte illa för att kontrollera misstänkta delar av koden av en antivirusskanner eller försök att söka dem i Google. Det är mycket troligt att du hittar några svar - både för skadlig och ren kod. Om du fortfarande inte är säker på om filen är infekterad är det bäst att avaktivera webbplatsen (bara i fall) innan du gör några åtgärder för att söka råd till en specialist.

Väldigt viktigt!

Förutom att rengöra filer på servern är det nödvändigt att göra en komplett antiviruskontroll av alla datorer som används för att ladda ner och hantera innehåll på servern och ändra all data för att komma åt alla konton på servern (FTP, SSH, Kontrollpanelen , etc.) som du stöder.

Säkerhetsgrunder för webbplatser

Tyvärr är det i de flesta fall att avlägsna skadlig kod för att bli av med infektion en gång och för alltid. Om din webbplats är infekterad kan det handla om förekomsten av sårbarheter som möjliggjorde cyberkriminella att genomföra skadliga skript till servern. Och om du lämnar detta problem utan uppmärksamhet väntar ny infektion på dig inom en snar framtid. För att förhindra detta måste du vidta lämpliga åtgärder för att skydda servern och datorer / datorer som används för att administrera servern.

  • Med hjälp av persistenta lösenord. Trots trivialiteten i detta råd är det verkligen grunden för serverns säkerhet. Det är nödvändigt att inte bara ändra lösenord efter varje incident och / eller attack på servern - de måste variera regelbundet, till exempel månadsvis. Bra lösenord måste överensstämma med de speciella kriterier som finns på www.kaspersky.com/passwords;
  • Regelbunden uppdatering. Du måste inte heller glömma regelbundna uppdateringar. Cyberkriminella utnyttjar ofta sårbarheter i oavsett syftet med ett skadligt program - oavsett om det riktas till PC-användare eller webbplatser. Alla program som du hanterar ditt server / webbplatsinnehåll måste vara mest senaste versionernaOch varje säkerhetsuppdatering måste installeras omedelbart vid dess utgång. Använder sig av faktiska versioner Programvaran och aktuell installation av alla nödvändiga fläckar kommer att bidra till att minska risken för attack med hjälp av utnyttjanden. En regelbunden uppdaterad lista över kända sårbarheter finns på webbplatsen http://cve.mitre.org/;
  • Regelbunden backup skapande. Med en nettokopia av serverns innehåll i lager, kommer du att spara mycket tid och ansträngning, för att inte tala om att färska säkerhetskopior kan, förutom behandling av infektion, är det mycket användbart för att lösa andra problem.
  • Regelbundna filkontroller. Även i avsaknad av explicit symptom på infektion rekommenderas att regelbundet skanna alla filer på servern för identifiering av skadlig kod;
  • Säkerställa PC-säkerhet. Eftersom en betydande mängd skadlig kod för webbplatser fördelas via de infekterade datorerna, är säkerheten för en stationär dator som används för att hantera din webbplats en av de prioriterade aspekterna av webbplatsens säkerhet. Kontinuerligt stöd för renlighet och säkerhet för din dator ökar sannolikt sannolikheten för att din webbplats också kommer att vara säker och skyddad från virus.
  • Obligatorisk (men inte tillräckligt) bör vara följande åtgärder:
    • radera oanvända program;
    • avaktivering av onödiga tjänster och moduler;
    • fastställa lämplig policy för enskilda användare och användargrupper.
    • installera adekvata åtkomsträttigheter till specifika filer och kataloger
    • inaktivera filer och webbserverkatalog;
    • underhålla händelseloggar, regelbundet verifierad för misstänkt aktivitet;
    • använd kryptering och säkra protokoll.

Skadlig programvara, som är utformad för att infektera webbplatser, kan vara en riktig mardröm för webbadministratörer och internetanvändare. Cyberkriminella utvecklar kontinuerligt sin teknik, öppnar nya utnyttjanden. Malware distribueras snabbt via Internet, slår servrar och arbetsstationer. Med rätta säga att ett tillförlitligt sätt att helt eliminera detta hot existerar inte. Varje webbplatsägare och alla internetanvändare kan dock göra Internet säkrare och observera de grundläggande säkerhetsreglerna och ständigt stöder säkerheten och renligheten hos sina webbplatser och datorer.

Lämna din kommentar!

Är kort för "skadlig programvara". Det är en term som vanligtvis används för programvara som är installerad på din dator som är utformad för att infiltrera eller skada ett datorsystem utan ägarens informerade samtycke. Ibland kan ett problem med Firefox vara ett resultat av skadlig programvara som är installerat på din dator, som du kanske inte Var medveten om. Den här artikeln beskriver vilka vanliga symptom som är och hur du förhindrar att skadlig kod är installerad och bli av med dem.

Innehållsförteckning.

Hur vet jag än mitt Firefox-problem är ett resultat av skadlig kod?

Symtom är olika och beror på malware, men om du har ett eller flera av dessa beteenden, kan du ha skadlig kod installerad på din dator.

  • Vissa annonspopups visar hela tiden, Även om du har blockerat popup-fönster. För moreformation på blockering av popup, se.
  • Dina sökningar omdirigeras till en annan webbplats För att mata dig innehåll från den webbplatsen och du är otillåtna från att blockera dem. För mer information, se vad du ska göra fel sökningar ta dig till fel sök webbplats.
  • Din hemsida har blivit kapad. För mer information om hur du ställer in din hemsida.
  • Firefox slutar aldrig att ladda eller kan ladda vissa webbplatser. För mer information, se webbplatser visar ett spinnhjul och slutar aldrig lastning och Firefox kan inte ladda vissa webbplatser.
  • Firefox kraschar eller hänger mycket. För mer information, se Firefox kraschar - felsök, förhindra och få hjälp att fixa kraschar och Firefox hänger eller inte svarar - hur man fixar.
  • Firefox startar inte. För mer information, se Firefox Won "t Start - Hitta lösningar.
  • Problem med anslutning till Facebook. För mer information om problem med Facebook, se Fixa problem med Facebook-spel, chatt och mer.
  • Firefox fortsätter att öppna många flikar o Windows. Mer information finns i Firefox upprepade gånger Öppnar tomma flikar eller fönster efter att du klickat på en länk.
  • Oönskade verktygsfält har installerats. För mer information om anpassning av Firefox, se Ta bort en verktygsfält som har tagit över din Firefox-sökning eller hemsida och hur du tar bort Babylon-verktygsfältet, hemsidan och sökmotorn.

Hur förhindrar jag att skadlig kod är installerad?

Det finns enkla regler att följa för att förhindra att skadlig kod installeras på din dator:

  • Behåll din. operativ system Och annan programvara uppdaterad: Installation av skadlig programvara brukar dra nytta av kända säkerhetsproblem i andra program, vilket kan ha blivit patched i senare versioner. Se till att du använder den senaste versionen av all programvara som du använder, vilket gör det möjligt för programvarans automatiska uppdateringsfunktion, om den är tillgänglig eller genom att checka efter uppdateringar från programvarueleverantören Och med hjälp av Windows Update-funktionen.
  • Installera inte otillförlitlig programvara: Vissa webbplatser erbjuder dig programvara för att påskynda din webbläsare, för att hjälpa dig att söka på webben, för att lägga till verktygsfält som gör saker som Firefox redan gör. Vissa oönskade program kommer också att buntas i mjukvarupaket. Vanligtvis samlar dessa program information om ditt surfningsbeteende som bara serverar personer som utformade dem och störa Firefox. Se till att du installerar tillägg från Mozilla "s tilläggswebbplats och du avmarkerar oönskade program i programvaruhandlar. Kontrollera om du har oönskade tillägg och inaktivera eller ta bort dem.
  • Klickar inte in inuti vilseledande popup-fönster: Många skadliga webbplatser försöker installera malware på ditt system genom att göra bilder som popup-fönster, eller visa en animering av webbplatsen som skannar din dator. För mer information om detektera en vilseledande popup, se Inställningar för popup-blocker, undantag och felsökning.
  • Kör inte en falsk Firefox: Hämta Firefox från Mozilla.org/Firefox.
  • Kör anti-virus och anti-spyware realtidsskydd och skanna ditt system regelbundet. Gör Suore ditt anti-virus och anti-spyware realtidsskydd är aktiverat. Skanna din dator minst varje månad.

Hur blir jag av med skadlig kod?

Wikipedia-artikeln Linux Malware har information och rekommendationer för linux Användare.

Hur blir jag av med skadlig kod?

Microsoft har grundläggande. gRATIS ANTIVIRUS Och anti-spyware säkerhetsprogramvara inbyggd på Windows 8 och Windows 10för Windows 7 (se Vad är Microsoft Security Essentials?). Om din säkerhetsprogramvara har detekterat malware, skanna ditt system med de fria malware-skanningsprogrammen som anges nedan. Du bör skanna med alla program eftersom varje program upptäcker olika skadliga program och se till att du uppdaterar varje program för att få den senaste versionen av deras databaser Innan du gör en skanning.

Varning: Anti-virus och anti-spyware-programvara kan ibland generera falska positiva. Tänk på quarantining misstänkta filer istället för att radera dem.