Тестування систем пошуку вірусів на веб сайтах

English Ukrainian

В даному дослідженні проведено порівняльне тестування різних систем пошуку вірусів на веб сайтах. Що можуть бути використані для захисту користувачів Інтернет від інфікованих сайтів, що поширюють шкідливе програмне забезпечення (malware). Тема зараженості веб сайтів зараз є дуже актуальною і всім користувачам Інтернет буде корисно дізнатися про існуючі системи.

Задачею даного дослідження є визначення системи пошуку вірусів на веб сайтах, що забезпечує найбільший захист користувачів в Інтернеті, та створення рейтингу різних систем. А також визначення переваг та недоліків різних систем.

Учасники тестування.

В тестуванні прийняли участь наступні системи:

1. Web Virus Detection System - моя система виявлення вірусів на веб сайтах Web Virus Detection System (Web VDS v.1.0.75). Розроблена в 2008 році і на момент замороження проекту 31.08.2008 знаходилася в стані бета-версії. Під час даного тестування системою перевірялись лише головні сторінки сайтів.

2. Google - вбудована антивірусна система в пошуковій системі Google (використовує власну технологію Google). Робота даної системи перевірялась як в пошуковці, так і в сервісі Safe Browsing.

3. Yahoo - вбудована антивірусна система в пошуковій системі Yahoo (використовує технологію SearchScan від McAfee).

4. Yandex - вбудована антивірусна система в пошуковій системі Яндекс (використовує технологію від Sophos, а з березня 2010 також використовує власну технологію Яндекса).

5. Norton Safe Web - сервіс Symantec.

6. McAfee SiteAdvisor - сервіс McAfee.

7. StopBadware - сервіс stopbadware.org, дані з якого використовуються в браузерах Mozilla Firefox та Google Chrome для захисту від шкідливих сайтів. Робота даного сервісу перевірялась як через пошук по його БД, так і в Firefox 3.0.19 (перевірялось, чи заблокує Firefox даний сайт).

Сайти для перевірки учасниками тестування:

  • http://google.com - не інфікований сайт (зрозуміло, що сам сайт Гугла не буде інфікованим, хоча, як я вже писав, раніше Гугл знаходив malware в себе на сайті).
  • http://dobra-glina.com.ua - інфікований сайт за даними Google.
  • http://aiuto.at.ua - інфікований сайт за даними Google.
  • http://aladel.net - інфікований сайт за даними Symantec (який додав даний сайт в список Dirtiest websites of Summer 2009).
  • http://mactep.org - інфікований сайт за даними Symantec (який додав даний сайт в список Dirtiest websites of Summer 2009).
  • http://suninbev.com.ua - вже не інфікований сайт, але рініше він був заражений за даними Google.
  • http://design.lutsk.ua - інфікований сайт за даними Google.

Тестування проводилося 05.04.2010 - 07.04.2010. Дані по кожному сайту перевірялися декілька разів.

Перевірка сайтів.

Результати перевірки сайтів:

Сайт http://google.com.

1. Web Virus Detection System.

Вірусів не виявлено.

Malicious code not found at http://google.com.

Оцінка: 1,0.

2. Google.

http://www.google.com.ua/search?q=google.com

Вірусів не виявлено.

В пошуці Гугл не повідомляє про жодні проблеми з google.com. Але в Safe Browsing є згадка про інфекцію, що була виявлена 24.03.2010. Явно шкідливий код розміщений на одному з піддоменів google.com.

Додаткова інформація:

Цей сайт наразі не входить до переліку підозрілих. Останній раз інфекція на сайті була виявлена 06.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів.

Оцінка: 1,0.

3. Yahoo.

http://search.yahoo.com/search?p=google.com

Вірусів не виявлено.

Оцінка: 1,0.

4. Yandex.

http://yandex.ua/yandsearch?site=google.com

Вірусів не виявлено.

Хоча Яндекс не індексує сайти, що не відносяться до Рунету, Уанету і країн СНГ, але даний сайт ним був частково проіндексований. Бо з недавніх пір Яндекс почав потроху індексувати західні сайти.

Оцінка: 1,0.

5. Norton Safe Web.

http://safeweb.norton.com/report/show?url=google.com

Сайт безпечний.

Повідомлення: “Norton Safe Web не обнаружил угроз на этом сайте”.

Оцінка: 1,0.

6. McAfee SiteAdvisor.

http://www.siteadvisor.com/sites/google.com

Сайт безпечний.

Повідомлення: “We tested this site and didn’t find any significant problems”. При цьому повідомляє про 6 файлів з цього сайта з вірусами.

Оцінка: 1,0.

7. StopBadware.

http://stopbadware.org/reports/b78d8f76991b743ef336d1f5f81abc4d

Сайт безпечний. Лише на одному піддомені Гугла виявлена malware активність.

Оцінка: 1,0.

Сайт http://dobra-glina.com.ua.

1. Web Virus Detection System (Web VDS v.1.0.75).

Сайт інфікований.

Site http://dobra-glina.com.ua is infected.

Infected score: 177.00.

Оцінка: 1,0.

2. Google.

http://www.google.com.ua/search?q=dobra-glina.com.ua

Сайт інфікований. Ця сторінка може заподіяти шкоду вашому комп’ютерові.

Поведінка системи: пошукова система заблокувала доступ до сайту з результатів пошуку.

Додаткова інформація:

На dobra-glina.com.ua інфекція була виявлена 16.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Оцінка: 1,0.

3. Yahoo.

http://search.yahoo.com/search?p=dobra-glina.com.ua

Вірусів не виявлено.

Поведінка системи: пошукова система не заблокувала доступ до сайту з результатів пошуку.

Оцінка: 0,0.

4. Yandex.

http://yandex.ua/yandsearch?site=dobra-glina.com.ua

Сайт інфікований. Сайт може загрожувати безпеці вашого комп’ютера

Поведінка системи: пошукова система запропонувала переглянути безпечну копію сторінки сайта (в кеші) або перейти на сайт.

Оцінка: 0,5.

5. Norton Safe Web.

http://safeweb.norton.com/report/show?url=dobra-glina.com.ua

Сайт не перевірений.

Повідомлення: “Этот сайт еще не проверен. Его проверка запланирована”.

Оцінка: 0,0.

6. McAfee SiteAdvisor.

http://www.siteadvisor.com/sites/dobra-glina.com.ua

Сайт не перевірений.

Повідомлення: “We’ve tested millions of websites, but we haven’t tested this one yet” та “This site has been queued for testing”.

Оцінка: 0,0.

7. StopBadware.

http://stopbadware.org/reports/54ea2e13cdff1cd2b105d4f6fb3efaf9

Сайт небезпечний.

Повідомлення: “Google reports badware-related activity on dobra-glina.com.ua/ as of Oct 22nd 2009″.

Робота системи: Незважачи на те, що сайт небезпечний, Firefox пропустив на цей сайт.

Оцінка: 0,5.

Сайт http://aiuto.at.ua.

1. Web Virus Detection System.

Сайт інфікований.

Site http://aiuto.at.ua is infected.

Infected score: 5.45.

Оцінка: 1,0.

2. Google.

http://www.google.com.ua/search?q=site%3Aaiuto.at.ua

Ця сторінка може заподіяти шкоду вашому комп’ютерові.

Поведінка системи: пошукова система заблокувала доступ до сайту з результатів пошуку.

Додаткова інформація:

На aiuto.at.ua інфекція була виявлена 28.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Оцінка: 1,0.

3. Yahoo.

http://search.yahoo.com/search?p=aiuto.at.ua

Вірусів не виявлено.

Поведінка системи: пошукова система не заблокувала доступ до сайту з результатів пошуку.

Оцінка: 0,0.

4. Yandex.

http://yandex.ua/yandsearch?site=aiuto.at.ua

Вірусів не виявлено.

Поведінка системи: пошукова система не заблокувала доступ до сайту з результатів пошуку.

Оцінка: 0,0.

5. Norton Safe Web.

http://safeweb.norton.com/report/show?url=aiuto.at.ua

Сайт не перевірений.

Повідомлення: “Этот сайт еще не проверен. Его проверка запланирована”.

Оцінка: 0,0.

6. McAfee SiteAdvisor.

http://www.siteadvisor.com/sites/aiuto.at.ua

Сайт не перевірений.

Повідомлення: “We’ve tested millions of websites, but we haven’t tested this one yet” та “This site has been queued for testing”.

Оцінка: 0,0.

7. StopBadware.

http://stopbadware.org/reports/c0b25e549925b274b7992e101b0b28d8

Сайт небезпечний.

Повідомлення: “Google reports badware-related activity on aiuto.at.ua/ as of Nov 6th 2009″.

Робота системи: Firefox не пропустив на цей сайт.

Оцінка: 1,0.

Сайт http://aladel.net.

1. Web Virus Detection System.

Вірусів не виявлено.

Malicious code not found at http://aladel.net.

Оцінка: 1,0.

2. Google.

http://www.google.com.ua/search?q=aladel.net

В пошуці Гугл не повідомляє про жодні проблеми з aladel.net. І в сервісі Safe Browsing також.

Оцінка: 1,0.

3. Yahoo.

http://search.yahoo.com/search?p=aladel.net

Вірусів не виявлено.

Оцінка: 1,0.

4. Yandex.

http://yandex.ua/yandsearch?site=aladel.net

Вірусів не виявлено.

Враховуючи, що Яндекс не індексує сайти, що не відносяться до Рунету, Уанету і країн СНГ, то даний сайт ним не був проіндексований.

Оцінка: 0,0.

5. Norton Safe Web.

http://safeweb.norton.com/report/show?url=aladel.net

Сайт безпечний.

Повідомлення: “Norton Safe Web не обнаружил угроз на этом сайте”.

Хоча ще в кінці березня, під час перевірки даного сервіса, він видав інформацію про небезпечність даного сайта. Мої запити до сервісу Norton Safe Web стимулювали його до оновлення даних про цей сайт в БД.

В кеші Гугла за 30.03.2010 для даної адреси на safeweb.norton.com можна дізнатися, що даний сайт є небезпечним (Total threats on this site: 33748).

Оцінка: 0,8.

6. McAfee SiteAdvisor.

http://www.siteadvisor.com/sites/aladel.net

Сайт небезпечний.

Повідомлення: “McAfee TrustedSource web reputation analysis found potential security risks with this site. Use with extreme caution”.

Дана інформація застаріла, що видно по іншим системам (які визначили даний сайт як безпечний).

Оцінка: 0,5.

7. StopBadware.

http://stopbadware.org/reports/54ea2e13cdff1cd2b105d4f6fb3efaf9

Сайт безпечний. Лише є інформація, що раніше він був небезпечним.

Повідомлення: “Google reported badware-related activity on aladel.net/ on Jun 15th 2008″.

Оцінка: 1,0.

Сайт http://mactep.org.

1. Web Virus Detection System.

Вірусів не виявлено.

Malicious code not found at http://www.mactep.org.

Оцінка: 1,0.

2. Google.

http://www.google.com.ua/search?q=www.mactep.org

В пошуці Гугл не повідомляє про жодні проблеми з mactep.org. І в сервісі Safe Browsing також.

Оцінка: 1,0.

3. Yahoo.

http://search.yahoo.com/search?p=mactep.org

Вірусів не виявлено.

Оцінка: 1,0.

4. Yandex.

http://yandex.ua/yandsearch?site=mactep.org

Даний сайт ним не був проіндексований (тому що Яндекс не індексує сайти, що не відносяться до Рунету, Уанету і країн СНГ).

Оцінка: 0,0.

5. Norton Safe Web.

http://safeweb.norton.com/report/show?url=mactep.org

Сайт небезпечний.

Повідомлення: “Всего угроз на этом сайте: 5337″.

Дана інформація застаріла, що видно по іншим системам (які визначили даний сайт як безпечний).

Оцінка: 0,5.

6. McAfee SiteAdvisor.

http://www.siteadvisor.com/sites/mactep.org

Сайт небезпечний.

Повідомлення: “McAfee TrustedSource web reputation analysis found potential security risks with this site. Use with extreme caution”.

Дана інформація застаріла, що видно по іншим системам (які визначили даний сайт як безпечний).

Оцінка: 0,5.

7. StopBadware.

http://stopbadware.org/reports/5004abb2218a2d890b7cbf0418c51936

Сайт безпечний. Лише є інформація, що раніше він був небезпечним.

Повідомлення: “Google reported badware-related activity on deir.mactep.org/ between Jun 10th 2009 and Sep 8th 2009″.

Оцінка: 1,0.

Сайт http://suninbev.com.ua.

1. Web Virus Detection System.

Вірусів не виявлено.

Site http://suninbev.com.ua is not infected.

Infected score: 0.10.

Оцінка: 1,0.

2. Google.

http://www.google.com.ua/search?q=suninbev.com.ua

В пошуці Гугл не повідомляє про жодні проблеми з suninbev.com.ua. І в сервісі Safe Browsing також.

Додаткова інформація:

Цей сайт наразі не входить до переліку підозрілих. Останній раз інфекція на сайті була виявлена 03.03.2010.

Оцінка: 1,0.

3. Yahoo.

http://search.yahoo.com/search?p=suninbev.com.ua

Вірусів не виявлено.

Оцінка: 1,0.

4. Yandex.

http://yandex.ua/yandsearch?site=suninbev.com.ua

Даний сайт ним не був проіндексований.

Оцінка: 0,0.

5. Norton Safe Web.

http://safeweb.norton.com/report/show?url=suninbev.com.ua

Сайт безпечний.

Повідомлення: “Norton Safe Web не обнаружил угроз на этом сайте”.

Оцінка: 1,0.

6. McAfee SiteAdvisor.

http://www.siteadvisor.com/sites/suninbev.com.ua

Сайт не перевірений.

Повідомлення: “We’ve tested millions of websites, but we haven’t tested this one yet” та “This site has been queued for testing”.

Оцінка: 0,0.

7. StopBadware.

http://stopbadware.org/reports/74ff3f519ff9b85c4ac6c577db602157

Сайт безпечний. Лише є інформація, що раніше він був небезпечним.

Повідомлення: “Google reported badware-related activity on suninbev.com.ua/ between Feb 16th 2010 and Mar 4th 2010″.

Оцінка: 1,0.

Сайт http://design.lutsk.ua.

1. Web Virus Detection System.

Сайт інфікований.

Site http://design.lutsk.ua is infected.

Infected score: 7.60.

Оцінка: 1,0.

2. Google.

http://www.google.com.ua/search?q=site%3Adesign.lutsk.ua

Сайт інфікований. Ця сторінка може заподіяти шкоду вашому комп’ютерові.

Поведінка системи: пошукова система заблокувала доступ до сайту з результатів пошуку.

Додаткова інформація:

На design.lutsk.ua інфекція була виявлена 02.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Оцінка: 1,0.

3. Yahoo.

http://search.yahoo.com/search?p=design.lutsk.ua

Вірусів не виявлено.

Поведінка системи: пошукова система не заблокувала доступ до сайту з результатів пошуку.

Оцінка: 0,0.

4. Yandex.

http://yandex.ua/yandsearch?site=design.lutsk.ua

Даний сайт ним не був проіндексований.

Оцінка: 0,0.

5. Norton Safe Web.

http://safeweb.norton.com/report/show?url=design.lutsk.ua

Сайт не перевірений.

Повідомлення: “Этот сайт еще не проверен. Его проверка запланирована”.

Оцінка: 0,0.

6. McAfee SiteAdvisor.

http://www.siteadvisor.com/sites/design.lutsk.ua

Сайт не перевірений.

Повідомлення: “We’ve tested millions of websites, but we haven’t tested this one yet” та “This site has been queued for testing”.

Оцінка: 0,0.

7. StopBadware.

http://stopbadware.org/reports/93ea55bd3e25eb737849ffb817826775

Сайт небезпечний.

Повідомлення: “Google reports badware-related activity on design.lutsk.ua/ as of Mar 25th 2010″.

Робота системи: Firefox не пропустив на цей сайт.

Оцінка: 1,0.

Результати тестування.

Ітогова оцінка систем:

1. Google - 7,0.
2. Web Virus Detection System - 7,0.
3. StopBadware - 6,5.
4. Yahoo - 4,0.
5. Norton Safe Web - 3,3.
6. McAfee SiteAdvisor - 2,0.
7. Yandex - 1,5.

Висновки.

Кожна з систем представлених в даному тестуванні може захистити користувачів Інтернет від шкідливих сайтів (хто краще, хто гірше). Але розробникам даних систем потрібно їх покращувати. В результаті тестування найкращі результати показала система Google.

Хоча система пошуку вірусів на сайтах від Google набрала стільки ж балів як і моя Web Virus Detection System, але вона отримала перемогу за рахунок широких можливостей (тобто за додатковими показниками). Ні за станом на серпень 2008 року (коли розробка моєї системи була заморожена, а система Google весь цей час розвивалась), ні зараз в 2010 році, моя система не може конкурувати з системою Google. Але тим не менш, моя система показала, що програма, яка розроблена без жодного фінансування лише на одному моєму ентузіазмі, може конкурувати (причому ефективно) з системами, розробленими великими компаніями за мільйони доларів.

Переваги та недоліки даних систем пошуку вірусів на веб сайтах:

Web Virus Detection System.

+ Система може в реальному часі перевіряти веб сайти на віруси.
+ Два режими перевірки: всього сайту та однієї сторінки.
+ Система дає оцінку інфікованності сайта (Infected score).
- Немає бази інфікований сайтів (тільки перевірка по запиту) - цей функціонал був запланований до розробки в 2008 році.
- Зараз система знаходиться в стані бета-версії і не є публічною.

Google.

+ Антивірусна система працює в рамках пошукової системи, що підвищує безпеку її користувачів.
+ Пошукова система блокує доступ до інфікованих сайтів з результатів пошуку.
+ Велика база шкідливих сайтів.
+ Відносно швидко оновлюються дані в БД шкідливих сайтів.
+ Можна перевіряти інформацію в сервісі Safe Browsing про стан сайтів занесених в базу системи.
+ Користувачі браузерів Firefox та Chrome (та будь-які користувачі через сайт Google) можуть повідомляти про шкідливі сайти.
+ Система надає іншим сервісам (зокрема StopBadware) інформацію про шкідливі сайти.
- Не перевіряє веб сайти на віруси в реальному часі (тільки кешовані дані).

Yahoo.

+ Антивірусна система працює в рамках пошукової системи, що підвищує безпеку її користувачів.
- Не перевіряє веб сайти на віруси в реальному часі (тільки кешовані дані).
- Невелика база шкідливих сайтів.
- Пошукова система не блокує доступ до інфікованих сайтів з результатів пошуку.

Yandex.

+ Антивірусна система працює в рамках пошукової системи, що підвищує безпеку її користувачів.
- Не перевіряє веб сайти на віруси в реальному часі (тільки кешовані дані).
- Пошукова система не блокує доступ до інфікованих сайтів з результатів пошуку (можна переглянути безпечну копію сторінки сайта або перейти на сайт).
- Невелика база шкідливих сайтів.
- Пошукова система не індексує сайти, що не відносяться до Рунету, Уанету і країн СНГ, тому в неї менша база сайтів і менше сайтів перевірено на віруси, порівняно з Google та Yahoo. І вона не зможе захистити своїх користувачів від malware на непроіндексованих сайтах.

Norton Safe Web.

+ На сайті сервісу можна шукати інформацію про стан сайтів занесених в його базу.
+ У Symantec є плагін для браузера Norton Safe Web Lite, що інтегрований з сервісом Norton Safe Web. Що може використовуватися користувачами для захисту від шкідливих сайтів.
- Не перевіряє веб сайти на віруси в реальному часі (тільки кешовані дані).
- Невелика база шкідливих сайтів.
- Повільно оновлюються дані в БД шкідливих сайтів.

McAfee SiteAdvisor.

+ На сайті сервісу можна шукати інформацію про стан сайтів занесених в його базу.
+ У McAfee є плагін для браузера SiteAdvisor software, що інтегрований з сервісом McAfee SiteAdvisor. Що може використовуватися користувачами для захисту від шкідливих сайтів.
- Не перевіряє веб сайти на віруси в реальному часі (тільки кешовані дані).
- Невелика база шкідливих сайтів.
- Повільно оновлюються дані в БД шкідливих сайтів.

StopBadware.

+ На сайті сервісу можна шукати інформацію про стан сайтів занесених в його базу.
+ Дані з БД сервісу використовуються в браузерах Mozilla Firefox та Google Chrome для захисту від фішінгових та шкідливих сайтів.
+ Користувачі браузерів Firefox та Chrome (та будь-які користувачі через сайт сервісу) можуть повідомляти про шкідливі сайти.
- Не перевіряє веб сайти на віруси в реальному часі (тільки кешовані дані).
- Невелика база шкідливих сайтів (але чимало є даних від Гугла).
- Не завжди в браузерах, що використовують дані від StopBadware (зокрема в Firefox), спрацьовує захист від шкідливих сайтів.