Как самостоятельно воспроизвести проблему с помощью виртуальной машины?

Антивирус Яндекса обнаруживает заражения, которое может быть трудно воспроизвести вручную. В таких случаях увидеть вредоносный код в браузере можно с помощью тестовой «уязвимой» системы, заранее подготовленной на виртуальной машине.

  1. Система должна выглядеть следующим образом:

    • операционная система Windows XP;

    • браузеры (IE, Firefox, Chrome, Opera) с отключенными cookies и без истории посещений;

    • локальный прокси-сервер, для просмотра всех HTTP соединений;

    Желательно установить устаревшие версии браузеров, Java Runtime Environment, Acrobat Reader и плагинов для Adobe Flash.

  2. Настроив систему, сделайте точку восстановления (snapshot) виртуальной машины. Теперь можно начинать тестировать:

    • открывайте сайт разными браузерами;

    • переходите на сайт из результатов поиска и через адресную строку;

    • соединяйтесь с сайтом через анонимизирующий прокси-сервер и напрямую;

    • попробуйте менять заголовок User-Agent с десктопного на мобильный.

    После каждого просмотра страницы внимательно изучайте исходный код страницы и возвращайтесь к точке восстановления.

  3. Признаком того, что на сайте присутствует вредоносный код, может служить:

    • Посторонние элементы <iframe>, <script>, <object>, <embed>, <applet> в разметке страницы.

    • Подгрузка данных с хостов в доменных зонах .cc, .in, .cn, .pl или перенаправление на такие хосты. Также подозрительны обращения к Dynamic DNS-сервисам и напрямую к IP-адресам.

    • Маскировка доменного имени под известные сайты: например, google-analylics.com или yandes.ru.

    • Обфусцированные скрипты.

    • Скрипты, содержащие вызовы eval, unescape, document.write, document.URL, window.location, window.navigate.

    • Переопределение элементов DOM.

    • Посторонний код в JS-библиотеках.

    • Лишние операции со строками (переопределение, замена подстрок, смещение символов, конкатенация).