AVG neemt toe op aantal kwaadwillende websites

Websites die zijn getuigd met kwaadaardige code worden met de dag talrijker, maar de tijd dat die sites online zijn, neemt af, volgens nieuw onderzoek van beveiligingsleverancier AVG Technologies.

AVG ziet tussen de 200.000 naar 300.000 nieuwe websites per dag die code hosten die in sommige gevallen kan resulteren in een pc die geïnfecteerd is met malware, gewoon door de site te bezoeken, zegt Roger Thompson, hoofdonderzoeksfunctionaris van AVG.

Tot 70 procent van die websites zijn gewone websites die zijn gehackt om kwaadwillende code te hosten, een statistiek die laat zien hoe slecht de beveiliging van websites is op internet. De rest is op maat gemaakte sites, zei hij.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Van die op maat gemaakte sites is er echter positief nieuws. Een veel voorkomende truc op social engineering is het opzetten van een website met codecs of stukjes software die worden gebruikt voor het coderen en decoderen van videobestanden. Hoewel het beweert een codec te zijn, is het bestand vaak schadelijke software die is ontworpen om gegevens te stelen.

AVG ontdekte dat tot 94 procent van de nep-codec-websites binnen tien dagen offline zijn, met 62 procent per dag of minder. In het verleden zijn de sites misschien wel twee weken online gebleven, wat aantoont dat ISP's (internetserviceproviders) sneller lijken te handelen om deze te verwijderen en dat de huidige mechanismen voor het melden van slechte websites van invloed zijn.

het grote aantal geïnfecteerde sites kan betekenen dat de tijd online minder belangrijk is zolang de hackers verkeer aantrekken.

Thompson zei dat veel hackers op zoek zijn naar minder professionele websites met ongepatchte versies van "htaccess", een configuratiebestand dat wordt gebruikt om de toegang tot bepaalde pagina's op een website te beheren.

Htaccess is een krachtig bestand, omdat het kan worden gemanipuleerd om gebruikers naar andere websites om te leiden, afhankelijk van hoe ze naar de website zijn gekomen, zei Thompson. Het kan bijvoorbeeld worden geconfigureerd om gebruikers die de website via Yahoo of Google hebben gevonden door te sturen naar een andere, vijandige website die kijkt of de pc mogelijk hackbaar is.

Maar als de vijandige website wordt bezocht door een bot en niet afkomstig van een zoekmachine, zal de site weigeren om eventuele exploits te dienen, waardoor het moeilijk wordt voor veiligheidsanalisten om het web automatisch te scannen op slechte sites, zei Thompson.

Hackers worden echter lui. Ze gebruiken vaak dezelfde JavaScript- en HTML-code (Hypertext Markup Language) die wordt gebruikt om aanvallen uit te voeren, waardoor aanvallen gemakkelijk te identificeren zijn. Dat is goed, want de onderliggende binaire aanvalscode kan vaak ook lastig zijn voor beveiligingssoftware om te identificeren.

"Dat is een behoorlijk goed knelpunt," zei Thompson. "Het is net alsof je een brievenbom hebt met op de buitenkant van de envelop staat 'Ik ben een bom'."

Thompson heeft een product ontwikkeld met de naam LinkScanner dat websites scant om te zien of het malware bevat. Hij verkocht zijn bedrijf, Exploit Prevention Labs, aan AVG - toen Grisoft - in december 2007. AVG heeft sindsdien LinkScanner ingebouwd in zijn gratis product, AVG 8.0 Free Edition.