В продовження мого дослідження систем для пошуку вірусів на веб сайтах та статті Безпечний пошук, розповів вам про обхід даних систем. Даний метод обходу систем для пошуку вірусів на веб сайтах я придумав декілька днів тому.
Обмірковуючи тему захисту від вірусів на сайтах я виявив, що можливий обхід систем для пошуку вірусів на веб сайтах, зокрема тих, що вбудовані в пошукові системи. Це можливо через використання клоакінга, коли аналізується User Agent, і якщо це пошукова системи, то шкідливий код не виводиться, якщо ж браузер - то виводиться. Подібне можна реалізувати в шкідливих скриптах (Perl, PHP та інших), розміщенних на інфікованих сайтах, або на сайтах зловмисників, на які посилаються інші сайти, зокрема в тегах script та iframe.
Зазначу, що використання методики клоакінга я вже зустрічав в шкідливих скриптах при їх дослідженні в останні роки. Зокрема я стикався з перевірками на реферер (подібний підхід може застосовуватися і для User Agent). І дана методика захисту шкідливого коду від систем для пошуку вірусів створює серйозний виклик даним системам.
Даний метод може бути використанний проти більшості зі згаданих систем, якщо вони мають власний User Agent, відмінний від User Agent браузера. Особливо проти систем для пошуку вірусів, що вбудовані в пошуковці, бо боти пошуковців мають відповідні User Agent. Але цей метод не спрацює проти моєї системи WebVDS, тому що вона використовує User Agent браузера і тому виглядає як звичайний браузер користувача.