Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Все под защиту!

Прочитали: 5971 Комментариев: 78 Рейтинг: 165

Ради проникновения на компьютер жертвы злоумышленники используют любые средства. Например, скрипты.

Скрипт – разновидность компьютерной программы. Как и привычные всем программы, скрипты выполняют некую последовательность действий и могут быть весьма сложными. Но, в отличие от программ, скрипты после их написания не переводятся в исполняемый код (не проходят этап компиляции). Они выполняются с помощью внешней программы (интерпретатора) и без нее работать не будут.

Так, очень часто на страницах сайтов используются скрипты, написанные на языке JavaScript. В частности, использование скриптов позволяет с легкостью привести страницу в удобный для просмотра вид – и не создавать отдельные странички под разные браузеры и даже разные разрешения экрана.

Плюс скриптов – кроссплатформенность: один и тот же скрипт может исполняться на самых различных устройствах и операционных системах. И это по достоинству оценили вирусописатели.

Начнем с того, что вирус – это довольно сложная вещь и состоит он обычно из нескольких модулей. Один из них – это эксплойт. Его основная задача – эксплуатировать уже известную уязвимость с целью получения возможности выполнения произвольного кода (как пример).

Если мы мельком полистаем список уязвимостей, то увидим, что во многих из них фигурирует JS.

Браузер, как и любое другое полноценное приложение, имеет доступ к файловой системе (тот самый обычный доступ, когда можно писать, читать, создавать несистемные файлы) посредством API операционной системы (например: WinAPI для Windows). Внутри это все выглядит как системный вызов – программа передает управление на уровень ядра, предварительно сказав, что нужно открыть\создать\записать такой-то файл.

И да – браузер после такого, скорее всего, крэшнется ... но нам это уже неважно – код будет внедрен и выполнен. Конечно, это банальщина и есть еще 100500 различных вариантов, о которых вам никто не расскажет, но идея ясна.

https://toster.ru/q/264228

Страшно? На самом деле вредоносные файлы, реализованные с помощью JavaScript, служат для более простых целей – скажем, для скачивания вредоносных файлов. И никаких проблем в браузере они не вызывают. Достаточно открыть любой ежемесячный обзор «Доктор Веб» и убедиться в популярности JavaScript у вирусописателей:

По данным серверов статистики «Доктор Веб» #drweb Статистика вредоносных программ в почтовом трафике #drweb

JS.DownLoader – cемейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

https://news.drweb.ru/show/review/?lng=ru&i=11231

Естественно, такая угроза не могла остаться незамеченной со стороны разработчиков антивируса, и в 2011 году в Dr.Web была добавлена новая технология.

Технология ScriptHeuristic — предотвращает исполнение любых вредоносных скриптов в браузере и PDF-документах, не нарушая при этом функциональности легитимных скриптов. Защищает от заражения неизвестными вирусами через веб-браузер. Работает независимо от состояния вирусной базы Dr.Web совместно с любыми веб-браузерами.

https://products.drweb.ru/technologies

Удобство скриптовых языков – в том, что они позволяют автоматизировать повседневные действия, не требуя при этом установки средств разработки. Чтобы использовать скриптовый язык, достаточно иметь простейший текстовый редактор и соответствующий компонент ОС, ответственный за исполнение соответствующих скриптов. Дело в том, что JavaScript – это далеко не единственный скриптовый язык, который может встретиться на вашем компьютере. При всем своем удобстве этот язык оптимизирован для работы в браузерах. В связи с этим компания Microsoft разработала аналог JavaScript – JScript. JScript выполняется с помощью Windows Scripting Host (WSH).

Windows Script Host (WSH; первоначально назывался Windows Scripting Host, был переименован ко второму выпуску) — компонент Microsoft Windows, предназначенный для запуска сценариев на скриптовых языках JScript и VBScript, а также и на других дополнительно устанавливаемых языках (например, Perl).

https://ru.wikipedia.org/wiki/Windows_Script_Host

Пример использования JScript:

По данным серверов статистики «Доктор Веб» #drweb

Trojan.Encoder.4860

Троянец-шифровальщик, также известный под именем JS.Crypt, полностью написанный на языке JScript. Троянец имеет самоназвание — «вирус RAA», а зашифрованные файлы получают расширение *.locked.

https://news.drweb.ru/show/review/?lng=ru&i=10119

Еще один скриптовый язык – PowerShell.

Windows PowerShell — средство автоматизации от Microsoft с открытым исходным кодом, состоящее из оболочки с интерфейсом командной строки и сопутствующего языка сценариев.

Windows PowerShell также предоставляет механизм встраивания, благодаря которому исполняемые компоненты PowerShell могут быть встроены в другие приложения. Эти приложения затем могут использовать функциональность PowerShell для реализации различных операций, включая предоставляемые через графический интерфейс.

Windows PowerShell 2.0 был выпущен в составе Windows 7, Windows 8 и Windows Server 2008 R2, а также Windows Server 2012 R2, как неотъемлемый компонент системы. Кроме того, вторая версия доступна и для других систем, таких, как Windows XP SP3, Windows Server 2003 SP2, Windows Vista SP1, Windows Vista SP2, Windows Server 2008 и Windows Server 2012.

Windows PowerShell построен на базе Microsoft .NET Framework и интегрирован с ним.

https://ru.wikipedia.org/wiki/Windows_PowerShell

И соответствующая угроза:

Уязвимость выявлена в приложении Microsoft Word. Злоумышленники разработали для нее действующий эксплойт в виде документа Microsoft Word. При попытке открытия этого документа происходит загрузка другого файла с именем doc.doc, который содержит встроенный HTA-сценарий, детектируемый Dr.Web под именем PowerShell.DownLoader.72. Этот HTA-сценарий, написанный с использованием синтаксиса Windows Script, вызывает командный интерпретатор PowerShell. В нем обрабатывается другой вредоносный скрипт, скачивающий на атакуемый компьютер исполняемый файл.

В настоящий момент при помощи этого механизма злоумышленники устанавливают на компьютеры жертв троянца-загрузчика Trojan.DownLoader24.49614, способного скачивать и запускать на инфицированной машине другое опасное ПО.

http://news.drweb.ru/show/?i=11268

Хотите узнать, есть ли у вас в системе возможность исполнить скрипты PowerShell? Нажмите ПускВыполнитьpowershell.

#drweb

#drweb

Факты использования злоумышленниками скриптовых языков JScript и PowerShell потребовали от Dr.Web очередного усиления защиты. В результате был разработан модуль защиты Dr.Web Amsi-client, обеспечивающий проверку выполняемых скриптов PowerShell, JavaScript и VBScript.

#drweb

Данный компонент доступен в составе Антивируса Dr.Web и Dr.Web Security Space и работает на компьютерах под управлением Windows 10 (x86, x64) и Windows Server 2016. Управление Dr.Web Amsi-client осуществляется на вкладке настроек файлового монитора SpIDer Guard.

#JavaScript #ScriptHeuristic #технологии_Dr.Web #уязвимость #Windows #терминология #киберпреступление

Dr.Web рекомендует

Обновления антивирусных продуктов делаются не ради того, чтобы лишний раз о себе напомнить пользователям. За каждым сообщением об обновлении стоят серьезные доработки и улучшения. Если антивирус требует перезагрузки, то это, скорее всего, означает, что ваша защита нуждается в усилении, в том числе в связи с появлением новых угроз. Не игнорируйте эти требования – лучше потратить несколько минут на перезагрузку, чем столкнуться с последствиями неожиданного заражения.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: