Среди ответов Яндекса на вопросы пользователей большую часть составляют ссылки на те или иные сайты. Некоторые из них могут содержать вредоносный код, способный причинить вред компьютеру пользователя. Посещение зараженного сайта может привести к краже личной информации пользователя, уничтожению данных или использованию компьютера без ведома его владельца.

С мая 2009 года Яндекс проверяет индексируемые веб-страницы и предупреждает пользователей об опасных сайтах. В результатах поиска рядом с такими веб-страницами появляется пометка «Этот сайт может угрожать безопасности вашего компьютера». В июне 2011 года такая пометка появлялась в результатах поиска около 5 миллионов раз в день.

По оценкам Яндекса, общее число зараженных сайтов не превышает 1%. Но среди них часто оказываются популярные ресурсы, поскольку именно там злоумышленникам выгоднее всего размещать вредоносный код. Ежедневно в список зараженных сайтов попадают 5-10 популярных ресурсов с индексом цитирования более 1000, несколько раз в месяц вирус обнаруживается на высокорейтинговых сайтах — с индексом цитирования более 10000.

Для обнаружения зараженных страниц Яндекс использует две технологии — антивирусную технологию компании Sophos и антивирусный комплекс собственной разработки.

Технология Sophos построена на сигнатурном подходе и преимущественно опирается на базу уже известных вредоносных кодов (сигнатур). При проверке сайта антивирус сравнивает код веб-страницы с известными сигнатурами и, если находит соответствие, то определяет эту страницу как зараженную. Технология обнаружения вирусов на основе сигнатур прекрасно выявляет уже известные угрозы, но, к сожалению, зачастую бессильна против новых вирусов — до тех пор, пока они не попадут в антивирусные базы.

Антивирусный комплекс Яндекса построен на ином подходе — поведенческом. Его суть в том, что программа имитирует поведение пользователя — робот заходит на проверяемую страницу и анализирует, что происходит в системе. Если без ведома пользователя начинает исполняться или скачиваться какая-либо программа, скорее всего, страница заражена. При этом неважно, где размещен вредоносный код — в собственном коде веб-страницы, в стороннем коде (например, баннерной системы) или где-то еще. Основное преимущество поведенческого подхода — способность выявлять новые вирусы, которые еще не успели попасть в антивирусные базы.

Благодаря различию подходов — поведенческого и сигнатурного, антивирусы Яндекса и Sophos находят разные вирусы — пересечение составляет 34%. По договоренности с компанией Sophos Яндекс передает ей информацию об обнаруженных вирусах для добавления их в антивирусные базы.

Ежемесячно с помощью антивируса компании Sophos и своего собственного Яндекс проверяет около 300 миллионов страниц и предупреждает пользователей о зараженных сайтах. В июне 2011 года число зараженных страниц в антивирусной базе данных Яндекса превысило 2,7 миллиона.

Владельцы сайтов часто даже не подозревают о том, что их сайт содержит вредоносный код — заражение может произойти в результате взлома или из-за ошибок в администрировании. Следить за состоянием своего ресурса можно с помощью сервиса Яндекс.Вебмастер — в случае обнаружения вредоносного кода владелец сайта получит уведомление и сможет быстро привести сайт в порядок.

Если при повторной проверке ресурса опасные элементы не обнаружатся, предупреждающая пометка в результатах поиска будет снята.