Выбирайте инструменты правильно

В настоящий момент существует достаточно большое число «поделок», которые принято считать авторитетными сервисами для проверки сайтов на вирусы. Все они являются или

  • агрегаторами других сервисов проверки сайтов на вирусы (то есть не имеют своей системы детектирования угроз, а просто собирают данные с других сервисов), или
  • настолько просты в реализации, что достоверность результата гарантировать не могут, поэтому считают опасным половину интернета, пугая владельцев сайта несуществующими вирусами на сайте, в то время как действительно зараженные сайты считают абсолютно безопасными.

Попробуем проверить сайты на паре популярных сервисов.

Потестируем антивирусные сервисы, к примеру, на заведомо незавирусованных сайтах kaspersky.ru и ozon.ru, в безопасности которых не приходится сомневаться. Что нам покажут эти сервисы?

Сервис https://2ip.ru/site-virus-scaner/

Данный сервис подозревает в наличии вируса всех, у кого есть виджеты с IFRAME.

 

При этом действительно опасные сайты он считает абсолютно нормальными. Например, сайты с опасными редиректами или находящиеся в базе РосКомНадзора.

В то время как на самом деле все немного хуже:

Кроме проверок на наличие сайта в базах Яндекса, Гугла и ложных срабатываний на IFRAME он не сильно чем может помочь, и уж точно не сможет обнаружить скрытые мобильные и поисковые редиректы, дефейс, фишинговые страницы, спам-ссылки и пр.

Сервис http://antivirus-alarm.ru/

Данный сервис — это агрегатор нескольких API (VirusTotal API, Google Safe Browsing).

На ozon.ru «содержится сомнительная ссылка www.facebook.com«, а сам сайт, оказывается, находится в базах большого числа антивирусов.

Выводы

Какими свойствами должен обладать эффективный антивирусный сервис для сайтов? Он должен уметь обнаруживать не только очевидные угрозы, но и выявлять скрытые. А для этого эмулировать действия пользователя, загружать сайт в реальном браузере на различных конфигурациях (в мобильном браузере, в браузере для десктопа), выполнять действия пользователя (кликать по ссылкам, выполнять перемещения курсора мыши, делать паузы). То есть притворяться реальным посетителем сайта. Только так можно спровоцировать вирусную активность, которая не будет проявляться для простого бота, написанного на PHP. Это сложная система с эвристическим и поведенческим анализом, это несколько виртуальных машин и реальных браузеров. Только в этом случае можно считать проверку достаточно достоверной и верить результатам (хотя даже и в этом случае могут быть ошибки, но их число несравнимо меньше, чем у «поделок»).

Поэтому мы рекомендуем использовать только качественные и серьезные сервисы для обнаружения угроз на сайте. Один из них — это сервис ReScan.Pro, он выполняет комплексную диагностику страниц на веб-угрозы, эмулирует действия пользователей, работает в виртуальных машинах, имеет собственную базу сигнатур, черных списков, детектирует скрытые редиректы, опасные виджеты и многое другое. И, что самое главное, он — бесплатный.