Google szuka w EXE i pomaga zwalczyć malware

Mało znana funkcja wyszukiwarki Google'a pomogła wykryć tysiące stron ze złośliwym oprogramowaniem, oraz kilkanaście witryn, które zostały zaatakowane przez hakerów.

Firma Websense stworzyła nowe narzędzie do walki ze złośliwym oprogramowniem. Skorzystała w tym celu z mało znanej funkcji Google, możliwości wyszukiwania plików binarnych. Specjaliści z Websense przeszukiwali internet korzystając z Google'a, wpisując ciągi znaków występujące w znanych robakach takich jak Bagel czy Mytob. W ten sposób, według Dana Hubbarda, dyrektora ds. bezpieczeństwa Websense, specjaliści firmy, w ciągu ostatniego miesiąca, wykryli ponad 2000 złośliwych stron.

Silnik Google, poza umiejętnością przeszukiwania plików biurowych (np. DOC, RTF), indeksuje również, normalnie nieczytelne, pliki wykonywalne (.exe) systemu Windows i podaje szereg danych na ich temat.

Hubbard wraz z zespołem planuje udostępnić narzędzie bazujące na silniku Google'a wybranej grupie specjalistów zajmujących się bezpieczeństwem. Nie zamierza go jednak upubliczniać, ponieważ może być użyte w niewłaściwy sposób, np. do popełnienia przestępstwa.

Mogłoby zostać wykorzystane choćby w celu zdobycia wirusów, które można byłoby użyć w atakach. Zamiast kupować wirusy na czarnym rynku, atakujący mógłby je odnaleźć a następnie pobrać na swój komputer - powiedział Hubbard.

Google szuka w EXE i pomaga zwalczyć malware

Aby odnaleźć plik EXE w Google'u należy wpisać np. "Size of Image: 000c1000"

Jak pisze między innymi autor bloga "Homemade computer tutorials" (ang.), funkcja przeszukiwania plików binarnych Google'a, może zostać wykorzystana do oszukania użytkowników. Zamiast dotrzeć do strony z poszukiwanym programem, link Google'a może prowadzić bezpośrednio do pliku EXE z malware (złośliwym oprogramowaniem).

Cyberprzestępcy mogą pozycjonować swoje strony w ten sposób, by po wpisaniu popularnych haseł, w wynikach wyszukiwania pokazywały się odnośniki do plików EXE. Przedstawiciel Google potwierdził, że "okazjonalnie" mają miejsce takie przypadki.

Jednak atak tego typu wymaga od użytkownika potwierdzenia otwarcia pliku wykonywalnego. Johny Long z firmy Computer Sciences Corp, autor książki "Google Hacking for Penetration Testers" uważa, że internauci rzadko dają się na coś takiego nabrać. Myślę, że metoda z uruchamianiem plików wykonywalnych w oknie przeglądarki jest przestarzała - mówi Long. Są inne, bardziej eleganckie sposoby ataków, którymi należy się bardziej przejmować.

Najbardziej interesujące, według Long'a, jest to, że Google przeszukuje coraz więcej typów plików. Jego zdaniem może to oznaczać, że Google stanie się narzędziem do poszukiwania plików.