恶意软件和搜索引擎：yandex挑战视听测试结果

上周，独立实验室AV-Test发布了一项为期18个月的研究结果，调查了通过搜索引擎传播的恶意软件。 对我们和我们的读者来说，最大的好处是Bing所返回的恶意软件几乎是Google的五倍，但根据AV-Test的统计，它仍然不是领先者。 该头衔授予俄罗斯搜索引擎Yandex，此后就对AV-Test的结果提出了挑战。

Yandex想要答案

在一份声明中，Yandex提出了一些有关AV-Test方法论的问题，其中一些在我们的评论中得到了回应。 Yandex想知道AV-Test是如何定义恶意软件的，为何样本量变化如此之大，如何收集研究信息等等。

Yandex还指出，该公司通常不会过滤其结果是否包含恶意软件。 “ Yandex使用自己的专有防病毒技术来保护用户免受恶意软件的侵害，”该公司的一封电子邮件中写道。 “ Yandex会在其搜索结果中标记受感染的网页，以通知用户不安全的内容。我们只是将可能的后果通知给用户，而不会完全阻止对该网页的访问。”

AV测试回应

这家德国测试实验室告诉SecurityWatch，它将恶意站点定义为“传播已知恶意软件或表现出恶意行为的站点，包括包含恶意下载的驱动器或直接下载的站点”。

关于恶意站点的计数，AV-Test解释说它使用了四种验证方法。 首先，检查了所有站点的可疑行为，包括模糊的Javascript，隐藏的iframe和异常重定向等。 具有任何这些功能的网站随后进入公司的动态分析系统，该系统查找恶意行为，例如已知漏洞。

除动态分析外，AV-Test还使用已知恶意内容和站点的列表。 “我们对网站内容进行了扩展的静态检查，” AV-Test说。 “因此，我们能够根据我们的数据识别已知的漏洞利用或恶意软件二进制文件。”

作为我们定期进行的常规防病毒测试的一部分，AV-Test将现成的软件与恶意URL进行了对比。 然后，实验室将这种“真实世界的测试”整合到研究中。 该公司解释说：“作为定期常规测试的一部分，还对反病毒产品测试了大部分可疑URL。”

还对照其他恶意软件数据库（例如Malwaredomainlist和Zeustracker）对可疑URL进行了交叉检查。

另一种测试

AV-Test还谈到了Yandex关于其反恶意软件解决方案的观点，并指出搜索引擎并不仅仅在可疑链接附近放置警告。 “大多数（即使不是全部）搜索引擎都在一定程度上做到了这一点，” AV-Test告诉安全观察。

“但是那不是这项研究的一部分，” AV-Test继续说道。 “我们测试了有多少恶意网站可以将其纳入搜索引擎的索引中并停留一段时间。” 这是一个关键的区别，因为它并没有真正解决哪个搜索引擎“更安全”，而是坏蛋如何使用搜索引擎来传播恶意软件。

AV-Test表示，要确定Yandex的反恶意软件系统的功效，他们必须设计一项新研究，研究搜索引擎正确识别了多少个恶意网站。 这样的研究还必须研究警告是否易于用户理解和正确理解，警告出现的速度以及出现多少误报。

向前走

Yandex和AV-Test显然正在进行有关该问题的“友好”讨论，但仍然留下了一些未解决的问题。 但是，有一件事是绝对清楚的：攻击者正在积极使用搜索引擎优化来通过搜索引擎结果传播恶意软件。

搜索引擎如何选择处理此问题取决于他们及其业务模型。 事实是，尽管Yandex可能还有其他保护用户的方法，但恶意结果仍然存在。 Google，Bing和研究中的其他网站也是如此。

真正的威胁

许多读者讨论的另一点是这种策略是否构成实际威胁。 AV-Test承认，个人通过搜索引擎遇到恶意软件的可能性非常低，但这并不是游戏攻击者在玩。 他们认为，仅Google一个人一天就可以处理23亿次搜索。 在全球范围内，每天总共有约50, 000个恶意结果。 与恶意软件攻击通常一样，这与数量无关。

最重要的是，AV-Test指出，这些恶意网站中有许多正在采用搜索引擎优化技术（或针对那些行话的人的SEO）。 这些技术可以帮助新闻网站和博客人为地或公平地提高搜索结果，从而在Google上引起关注。 这些不是偶然的相遇。 他们针对相关的主题结果，以期尽可能多地击中受害者。

要点仍然是：保持安全，单击明智并获得某种安全软件。