Как самостоятельно воспроизвести проблему с помощью виртуальной машины?

Антивирус Яндекса обнаруживает заражения, которые трудно воспроизвести вручную. В таких случаях увидеть вредоносный код в браузере можно с помощью тестовой «уязвимой» системы, заранее подготовленной на виртуальной машине.

1. Система должна выглядеть следующим образом:

   • операционная система Windows XP;

   • браузеры (IE, Firefox, Chrome, Opera) с отключенными cookies и без истории посещений;

   • локальный прокси-сервер, для просмотра всех HTTP соединений.

   Желательно установить устаревшие версии браузеров, Java Runtime Environment, Acrobat Reader и плагинов для Adobe Flash.

2. Настроив систему, сделайте точку восстановления (snapshot) виртуальной машины. Теперь можно начинать тестировать:

   • открывайте сайт разными браузерами;

   • переходите на сайт из результатов поиска и через адресную строку;

   • соединяйтесь с сайтом через анонимизирующий прокси-сервер и напрямую;

   • попробуйте менять заголовок User-agent с десктопного на мобильный.

   После каждого просмотра страницы внимательно изучайте исходный код страницы и возвращайтесь к точке восстановления.

3. Признаком того, что на сайте присутствует вредоносный код, могут служить:

   • Посторонние элементы <iframe>, <script>, <object>, <embed>, <applet> в разметке страницы.

   • Подгрузка данных с хостов в доменных зонах .cc, .in, .cn, .pl или перенаправление на такие хосты. Также подозрительны обращения к Dynamic DNS-сервисам и напрямую к IP-адресам.

   • Маскировка доменного имени под известные сайты: например, google-analylics.com или yandes.ru.

   • Обфусцированные скрипты.

   • Скрипты, содержащие вызовы eval, unescape, document.write, document.URL, window.location, window.navigate.

   • Переопределение элементов DOM.

   • Посторонний код в JS-библиотеках.

   • Лишние операции со строками (переопределение, замена подстрок, смещение символов, конкатенация).