Websense осваивает Google API

БЕЗОПАСНОСТЬ

Новое средство обнаружения вредоносных программ в интернете - Google Soap Search API

Охотники за вирусами из Websense Security Labs (США) нашли способ применять бесплатный сервис Google API для поиска опасных исполняемых exe-файлов, которых так много развелось сегодня на Web-серверах по всему миру. Опираясь на стандарты SOAP (Simple Object Access Protocol - упрощенный протокол доступа к объектам) и

WSDL (Web Services Description Language - язык описаний Web-сервисов), этот интерфейс прикладного программирования открывает простой путь к рассылке поисковых запросов через браузер. Такой механизм поиска с легкостью индексирует исполняемые файлы, благодаря чему экспертам из Websense удалось создать специальный код, способный выявлять свойственные зловредным программам фрагменты.

Как рассказал старший директор исследований в области безопасности и технологий Websense Дэн Хаббард, его фирма обратила внимание на Google API по подсказке блоггеров. В один прекрасный момент те начали отмечать, что в ответ на некоторые поисковые запросы Google вдруг стал выдавать файлы с расширением .exe. Команда исследователей Хаббарда выяснила, что при индексации исполняемых файлов поисковый механизм Google производит синтаксический разбор формата PE (Portable Executable - переносимый исполняемый) операционной системы Microsoft Windows. А это, в свою очередь, позволяет составлять запросы на извлечение отдельных фрагментов из бинарных файлов. По словам Хаббарда, специалистам из Websense удалось создать код, выискивающий в файлах формата PE характерные для потенциально опасных программ "уникальные идентификаторы".

"Мы обнаружили буквально тысячи сайтов с вредоносными исполняемыми, - рассказывает Хаббард. - Здесь были и хакерские форумы, и новостные группы, и архивы почтовых рассылок. И всюду Google индексировал исполняемые файлы". При этом около 15 % результатов пришлось на вполне легитимные Web-сайты, которые хакеры умудрились взломать и заразить опасными кодами. "Как оказалось, множество серверов распространяют в Интернете вредоносные программы, а их владельцы зачастую даже не подозревают об этом", - замечает Хаббард.

С помощью разработанных фирмой запросов удалось найти также "шпионское" ПО на популярных сайтах с онлайновыми играми и даже варианты заразных червей Bagle и Mytob.

"То, что Google индексирует содержимое двоичных файлов, серьезной угрозы, по нашему мнению, не представляет, но наглядно свидетельствует о все более широком использовании Web-сайтов в качестве инкубаторов и разносчиков вредоносных кодов", - говорится в исследовательском отчете Websense.

Полные результаты эксперимента вместе с использованным в запросах API кодом Хаббард пообещал вскоре опубликовать в частной рассылке по вопросам безопасности. Это должно помочь другим исследователям автоматизировать процесс поиска опасных Web-узлов.

"Каждые сутки Websense просматривает почти 80 млн. сайтов, выискивая на них вредоносные программы. Сегодня нельзя дожидаться, пока кто-нибудь из пользователей пришлет образец нового вредителя. Настало время, когда без упреждающих действий с нашей стороны уже не обойтись", - уверен Хаббард.

Над автоматической классификацией семейств вредоносных программ и вариантов, постоянно атакующих компьютеры с ОС Windows, работает и специальная инженерная группа Microsoft. Для выявления вирусов, "троянских коней", "шпионских" программ, руткитов и других подобных им вредителей здесь планируется использовать технологии дистанционного измерения и машинного самообучения.