Как самостоятельно воспроизвести проблему с помощью виртуальной машины?
Антивирус Яндекса обнаруживает заражения, которые трудно воспроизвести вручную. В таких случаях увидеть вредоносный код в браузере можно с помощью тестовой «уязвимой» системы, заранее подготовленной на виртуальной машине.
Система должна выглядеть следующим образом:
операционная система Windows XP;
браузеры (IE, Firefox, Chrome, Opera) с отключенными cookies и без истории посещений;
локальный прокси-сервер, для просмотра всех HTTP соединений.
Желательно установить устаревшие версии браузеров, Java Runtime Environment, Acrobat Reader и плагинов для Adobe Flash.
Настроив систему, сделайте точку восстановления (snapshot) виртуальной машины. Теперь можно начинать тестировать:
открывайте сайт разными браузерами;
переходите на сайт из результатов поиска и через адресную строку;
соединяйтесь с сайтом через анонимизирующий прокси-сервер и напрямую;
попробуйте менять заголовок User-agent с десктопного на мобильный.
После каждого просмотра страницы внимательно изучайте исходный код страницы и возвращайтесь к точке восстановления.
Признаком того, что на сайте присутствует вредоносный код, могут служить:
Посторонние элементы <iframe>, <script>, <object>, <embed>, <applet> в разметке страницы.
Подгрузка данных с хостов в доменных зонах .cc, .in, .cn, .pl или перенаправление на такие хосты. Также подозрительны обращения к Dynamic DNS-сервисам и напрямую к IP-адресам.
Маскировка доменного имени под известные сайты: например,
google-analylics.comилиyandes.ru.Обфусцированные скрипты.
Скрипты, содержащие вызовы eval, unescape, document.write, document.URL, window.location, window.navigate.
Переопределение элементов DOM.
Посторонний код в JS-библиотеках.
Лишние операции со строками (переопределение, замена подстрок, смещение символов, конкатенация).
