Som malware-forsker bruger jeg størstedelen af mine dage på at studere den mørke side af nettet og en af de mest interessante ting, jeg får at se, er de mærkelige, og nogle gange vidunderlige, søgemaskineforespørgsler, der resulterer i farligt web websteder.
* Ryan Naraine er på ferie. Gæsteredaktion af Roger Thompson
De fleste mennesker tror nok, at så længe de ikke besøger websteder med dårligt omdømme, vil de være helt sikre, men det er ikke helt sandt. Ja, det er utvivlsomt farligt at gå på den virtuelle vilde side, men vi har bemærket en foruroligende tendens til at hacke uskyldige hjemmesider og omdanne dem til ubevidste lokker for udnyttelsesserverne.
Den første vigtige tendens er, at der for cirka 18 måneder siden kun var en kommerciel pakke af webbaseret udnyttelsessoftware, WebAttacker. I dag er WebAttacker væk, det er udviklere, der ikke er i stand til at holde tempoet, men erstattet af mindst tre bedreskrevne konkurrenter --
WebAttacker2/MPack, Neosploit og mindst én anden, som vi ikke har et navn til endnu.[SE OGSÅ: Googles anti-malware-team kommer ud af skyggerne ]
Den anden tendens er, at gerningsmændene for cirka 18 måneder siden sandsynligvis var ligeligt delt mellem at forsøge at installere adware på ofrets computer, og forsøger at sælge offeret en spywarefjerner for at fjerne det spyware, de lige har installeret, sammen med andre nyttelaster såsom keyloggere og bagdøre for sjov og profit. I dag er den semi-uskyldige, velsagtens aggressive markedsføring næsten forsvundet og er blevet erstattet af åbenlyst kriminel aktivitet. De vil have dine bankkonti, folkens, og de bliver bedre til det hele tiden.
Den tredje tendens er, at masse-defacements af hjemmesider ser ud til at blive erstattet af masse-infektion af hjemmesider. Der sælges adskillige værktøjer, som kan undersøge et massivt antal websteder, der forsøger at injicere iFrames som når tilbage til udnyttelsesserveren og dermed resulterer i, at uskyldige forespørgsler bliver farlige søgninger.
Her er nogle eksempler på nylige forespørgsler, hvor det forkerte valg resulterer i et udnyttende websted:
"musik uden stemme" -- Hvis du træffer det forkerte valg, får du et WebAttacker2-inficeret websted.
"berømte kubister" -- forkert valg får en WebAttacker2. "florida baptistkirker" -- det forkerte valg får et websted inficeret med en MDAC-udnyttelse.
"retsinstrumenter" -- det forkerte valg finder et websted, der linker til en kendt rootkitter.
Så hvad bringer fremtiden?
De onde forstår, at selvom firewalls gør et ret godt stykke arbejde med at holde netværksorme ude, er web browsere starter inde fra firewallen og skaber derfor en øjeblikkelig tunnel lige igennem firewall.
Jeg er ret overbevist om, at masseinfektionsværktøjerne vil fortsætte med at forbedre sig, og resultatet af det vil være flere og flere hackede uskyldige lokker. De bliver ryddet op ret hurtigt, men lige så hurtigt bliver andre hacket og indtager deres plads.
* Roger Thompson er en veteran fra antivirusindustrien, der startede en af de første antivirusvirksomheder i Australien i 1987. Han er teknisk chef for Udnyt forebyggelseslaboratorier.