-
добавить в избранное
Все под защиту!
27 апреля 2017
Ради проникновения на компьютер жертвы злоумышленники используют любые средства. Например, скрипты.
Скрипт – разновидность компьютерной программы. Как и привычные всем программы, скрипты выполняют некую последовательность действий и могут быть весьма сложными. Но, в отличие от программ, скрипты после их написания не переводятся в исполняемый код (не проходят этап компиляции). Они выполняются с помощью внешней программы (интерпретатора) и без нее работать не будут.
Так, очень часто на страницах сайтов используются скрипты, написанные на языке JavaScript. В частности, использование скриптов позволяет с легкостью привести страницу в удобный для просмотра вид – и не создавать отдельные странички под разные браузеры и даже разные разрешения экрана.
Плюс скриптов – кроссплатформенность: один и тот же скрипт может исполняться на самых различных устройствах и операционных системах. И это по достоинству оценили вирусописатели.
Начнем с того, что вирус – это довольно сложная вещь и состоит он обычно из нескольких модулей. Один из них – это эксплойт. Его основная задача – эксплуатировать уже известную уязвимость с целью получения возможности выполнения произвольного кода (как пример).
Если мы мельком полистаем список уязвимостей, то увидим, что во многих из них фигурирует JS.
Браузер, как и любое другое полноценное приложение, имеет доступ к файловой системе (тот самый обычный доступ, когда можно писать, читать, создавать несистемные файлы) посредством API операционной системы (например: WinAPI для Windows). Внутри это все выглядит как системный вызов – программа передает управление на уровень ядра, предварительно сказав, что нужно открыть\создать\записать такой-то файл.
И да – браузер после такого, скорее всего, крэшнется ... но нам это уже неважно – код будет внедрен и выполнен. Конечно, это банальщина и есть еще 100500 различных вариантов, о которых вам никто не расскажет, но идея ясна.
Страшно? На самом деле вредоносные файлы, реализованные с помощью JavaScript, служат для более простых целей – скажем, для скачивания вредоносных файлов. И никаких проблем в браузере они не вызывают. Достаточно открыть любой ежемесячный обзор «Доктор Веб» и убедиться в популярности JavaScript у вирусописателей:
JS.DownLoader – cемейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.
Естественно, такая угроза не могла остаться незамеченной со стороны разработчиков антивируса, и в 2011 году в Dr.Web была добавлена новая технология.
Технология ScriptHeuristic — предотвращает исполнение любых вредоносных скриптов в браузере и PDF-документах, не нарушая при этом функциональности легитимных скриптов. Защищает от заражения неизвестными вирусами через веб-браузер. Работает независимо от состояния вирусной базы Dr.Web совместно с любыми веб-браузерами.
Удобство скриптовых языков – в том, что они позволяют автоматизировать повседневные действия, не требуя при этом установки средств разработки. Чтобы использовать скриптовый язык, достаточно иметь простейший текстовый редактор и соответствующий компонент ОС, ответственный за исполнение соответствующих скриптов. Дело в том, что JavaScript – это далеко не единственный скриптовый язык, который может встретиться на вашем компьютере. При всем своем удобстве этот язык оптимизирован для работы в браузерах. В связи с этим компания Microsoft разработала аналог JavaScript – JScript. JScript выполняется с помощью Windows Scripting Host (WSH).
Windows Script Host (WSH; первоначально назывался Windows Scripting Host, был переименован ко второму выпуску) — компонент Microsoft Windows, предназначенный для запуска сценариев на скриптовых языках JScript и VBScript, а также и на других дополнительно устанавливаемых языках (например, Perl).
Пример использования JScript:
Trojan.Encoder.4860
Троянец-шифровальщик, также известный под именем JS.Crypt, полностью написанный на языке JScript. Троянец имеет самоназвание — «вирус RAA», а зашифрованные файлы получают расширение *.locked.
Еще один скриптовый язык – PowerShell.
Windows PowerShell — средство автоматизации от Microsoft с открытым исходным кодом, состоящее из оболочки с интерфейсом командной строки и сопутствующего языка сценариев.
Windows PowerShell также предоставляет механизм встраивания, благодаря которому исполняемые компоненты PowerShell могут быть встроены в другие приложения. Эти приложения затем могут использовать функциональность PowerShell для реализации различных операций, включая предоставляемые через графический интерфейс.
Windows PowerShell 2.0 был выпущен в составе Windows 7, Windows 8 и Windows Server 2008 R2, а также Windows Server 2012 R2, как неотъемлемый компонент системы. Кроме того, вторая версия доступна и для других систем, таких, как Windows XP SP3, Windows Server 2003 SP2, Windows Vista SP1, Windows Vista SP2, Windows Server 2008 и Windows Server 2012.
Windows PowerShell построен на базе Microsoft .NET Framework и интегрирован с ним.
И соответствующая угроза:
Уязвимость выявлена в приложении Microsoft Word. Злоумышленники разработали для нее действующий эксплойт в виде документа Microsoft Word. При попытке открытия этого документа происходит загрузка другого файла с именем doc.doc, который содержит встроенный HTA-сценарий, детектируемый Dr.Web под именем PowerShell.DownLoader.72. Этот HTA-сценарий, написанный с использованием синтаксиса Windows Script, вызывает командный интерпретатор PowerShell. В нем обрабатывается другой вредоносный скрипт, скачивающий на атакуемый компьютер исполняемый файл.
В настоящий момент при помощи этого механизма злоумышленники устанавливают на компьютеры жертв троянца-загрузчика Trojan.DownLoader24.49614, способного скачивать и запускать на инфицированной машине другое опасное ПО.
Хотите узнать, есть ли у вас в системе возможность исполнить скрипты PowerShell? Нажмите Пуск → Выполнить → powershell.
Факты использования злоумышленниками скриптовых языков JScript и PowerShell потребовали от Dr.Web очередного усиления защиты. В результате был разработан модуль защиты Dr.Web Amsi-client, обеспечивающий проверку выполняемых скриптов PowerShell, JavaScript и VBScript.
Данный компонент доступен в составе Антивируса Dr.Web и Dr.Web Security Space и работает на компьютерах под управлением Windows 10 (x86, x64) и Windows Server 2016. Управление Dr.Web Amsi-client осуществляется на вкладке настроек файлового монитора SpIDer Guard.
#JavaScript #ScriptHeuristic #технологии_Dr.Web #уязвимость #Windows #терминология #киберпреступлениеАнтивирусная правДА! рекомендует
Обновления антивирусных продуктов делаются не ради того, чтобы лишний раз о себе напомнить пользователям. За каждым сообщением об обновлении стоят серьезные доработки и улучшения. Если антивирус требует перезагрузки, то это, скорее всего, означает, что ваша защита нуждается в усилении, в том числе в связи с появлением новых угроз. Не игнорируйте эти требования – лучше потратить несколько минут на перезагрузку, чем столкнуться с последствиями неожиданного заражения.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
14:22:37 2018-07-26
Неуёмный Обыватель
02:55:57 2018-07-05
alex-diesel
14:48:48 2018-04-16
Бдительность и DrWeb!!
vasvet
12:23:16 2018-04-01
Toma
18:56:00 2018-02-26
Dablas
23:18:26 2017-06-17
Вячeслaв
10:58:49 2017-06-02
Littlefish
23:39:22 2017-06-01
philosoph
00:43:00 2017-05-10
markus leon
09:14:11 2017-04-30
Пaвeл
08:55:03 2017-04-28
Вячeслaв
07:15:26 2017-04-28
Тут проблема в том, что в Windows мы меньше зависим от операционной системы чем скажем в Андроид, но все равно зависим - мы так или иначе опираемся на предоставляемые нам возможности. С выпуском каждой ОС получается двоякая ситуация - что-то нам для доступа закрывают, а что-то добавляют. То что скаружи пользователи видят один и тот же набор модулей - это ничего не значит - подсистемы для разных ОС могут отличаться кардинально
В итоге для реализации функционала в более старых ОС нужно перенести туда возможности новой ОС. Оногда так и делается. Но только если появляются соответствующие угрозы
Joy
23:37:30 2017-04-27
Marsn77
23:01:40 2017-04-27
stavkafon
22:58:38 2017-04-27
Х...р
22:58:03 2017-04-27
tvmvt
22:48:46 2017-04-27
aleks_ku
22:34:23 2017-04-27
iAFC
22:28:38 2017-04-27
НинаК
22:19:14 2017-04-27
ek
21:51:51 2017-04-27
В...а
21:28:33 2017-04-27
vla_va
21:13:43 2017-04-27
Любитель пляжного футбола
21:10:14 2017-04-27
@Luger, примите и от меня поздравления с Днём рождения, счастья, здоровья, никогда не унывать и побольше хорошего настроения!
orw_mikle
21:08:44 2017-04-27
eaglebuk
20:50:15 2017-04-27
1din1
20:43:22 2017-04-27
kva-kva
20:25:17 2017-04-27
tigra
20:12:10 2017-04-27
mk.insta
20:10:52 2017-04-27
Б...а
19:26:37 2017-04-27
Dvakota
19:12:24 2017-04-27
Luger
19:08:20 2017-04-27
Шалтай Александр Болтай
17:47:20 2017-04-27
forrus
17:18:31 2017-04-27
Пaвeл
16:08:47 2017-04-27
Влад
15:58:09 2017-04-27
Masha
15:52:11 2017-04-27
maxtat
14:49:42 2017-04-27
tigra
14:20:17 2017-04-27
Alexander
13:57:07 2017-04-27
FrEd
13:33:04 2017-04-27
Настя
13:32:11 2017-04-27
dyadya_Sasha
12:41:25 2017-04-27
dyadya_Sasha
12:36:07 2017-04-27
А в всплывающем окне "перезагрузить позже", через ... мин/часов нужно добавлять надпись "НО УЧТИ, ЧЕРЕЗ ... МИН/ЧАСА МОЖЕТ БЫТЬ БУДЕТ ПОЗДНО!!!"
Верните Неуёмного
12:29:51 2017-04-27
@Павел, если хотите обратиться к администрации, принято писать admin. Невнимательно читали выпуски.
duduka
11:52:08 2017-04-27
L1t1um
10:38:57 2017-04-27
djabax
10:22:46 2017-04-27
ka_s
10:22:31 2017-04-27