Что такое script virus
Антивирусная прав ДА! TM
Кругозор без горизонтов
Чтобы получить доступ к сервисам проекта, войдите на сайт через аккаунт. Если у вас еще нет аккаунта, его можно создать. Подписка
О вредоносных скриптах: как они работают, чем опасны и как не столкнуться с ними
Один из наших читателей в соцсетях задал вопрос о вредоносных скриптах и общей безопасности при работе в Интернете. В частности, он интересовался защитой от угроз на JavaScript и других скриптов, размещаемых злоумышленниками на веб-страницах, а также попросил дать несколько советов по правильной настройке веб-антивируса Dr.Web. Благодарим за актуальный вопрос – ведь это отличный повод разобраться, в чем же там дело!
Если рассказывать обо всех вредоносных скриптах, которые когда-либо видели специалисты нашей вирусной лаборатории, то статья по своему объему потянет на учебник и явно не впишется в формат «Антивирусной правды». Вы наверняка уже догадались, что это очень многообразный, а значит – распространенный тип вредоносных программ.
Что же такое вредоносный скрипт?
В широком смысле всякий скрипт – это программный код (сценарий), написанный на различных интерпретируемых языках. Все скрипты выполняются с помощью внешней программы – интерпретатора. В отличие от исполняемых файлов, скрипты в большинстве своем существуют в виде текстовых файлов и могут быть прочитаны человеком. Например, исходный код скомпилированного файла привести в первозданный вид почти невозможно, а скрипты, напротив, всегда содержат исходный код. По принципу работы «плохие» скрипты ничем не отличаются от «хороших».
Вредоносные скрипты можно условно разделить на два вида.
В контексте работы в Интернете под вредоносными скриптами чаще всего подразумевается первый вид. Такие сценарии как правило написаны на JavaScript и PHP. Они находятся в коде страниц недобросовестных или взломанных сайтов и пытаются майнить криптовалюту в браузере пользователя, отображают рекламу с целью накруток, перенаправляют на другие сайты, зачастую мошеннические и опасные. К веб-скриптам можно отнести и PHP-инфекторы, которые заражают «хорошие» скрипты на серверной стороне. Кроме того, вредоносный код может находиться в составе расширений для браузеров.
Теоретически скрипт веб-страницы может быть использован как эксплойт – набор ошибочно интерпретируемых браузером данных, позволяющий получить доступ к атакуемой системе. Однако в настоящее время такие эксплойты встречаются все реже в виду развития браузеров, которые ограничивают доступ к функциям ОС, поэтому вредоносный код на сайте едва ли может навредить компьютеру в целом. Но несмотря на это, упомянутых деструктивных функций вполне достаточно, чтобы сильно испортить жизнь любому пользователю. Реклама, мошенничество, фишинг, замедление работы браузера, даже сам взлом сайтов – это все про веб-скрипты. К тому же они кроссплатформенны и очень распространены, поскольку злоумышленники массово используют их для инфицирования страниц и веб-серверов.
Но опасность подстерегает не только на сайтах. Другим видом вредоносных скриптов являются сценарии, которые запускаются компонентами ОС. Они могут быть написаны на разных скриптовых языках: JScript, VBS, PowerShell, Perl, Python и многих других. Такие сценарии гораздо более функциональны и опасны, так как обращаются напрямую к API-объектам. Несмотря на то, что скрипты крайне редко содержат основную функциональность, они часто используются либо для начальной загрузки других вредоносных модулей в заражаемые системы, либо для промежуточных действий или вспомогательных операций. Например, в Windows часто встречаются PowerShell-скрипты, содержащие эксплойты или утилиты для продвижения по системе/сети. Хотя скрипты и считаются кроссплатформенным инструментом, некоторые из них работают только в предназначенных для этого ОС, так как для их работы важно наличие тех или иных системных API. Упомянутые PowerShell, а также BAT и JScript-сценарии работают в Windows, AppleScript предназначен для macOS, а ВПО для Linux часто представлено в виде bash-скриптов.
Системные скрипты для ОС чаще всего распространяются через электронную почту, раздаются на взломанных и вредоносных сайтах, загружаются другими программами, распространяются самостоятельно через съемные носители и сетевые ресурсы.
Добавим, что почти все вредоносные (и не только) скрипты тем или иным образом обфусцированы. Это значит, что для их детектирования часто приходится применять другие технологии, нежели традиционное сравнение по сигнатурам.
Для обезвреживания системных скриптов в Windows мы применяем алгоритмы машинного обучения, встроенные в основное антивирусное ядро. Такой подход позволяет успешно детектировать вредоносный код вне зависимости от его запутанности, что невозможно было бы сделать при помощи сигнатурного анализа.
Для блокировки веб-скриптов используется наш эвристический анализатор и веб-антивирус – SpIDer Gate. Отметим, что для эффективной защиты дополнительно настраивать какой-либо из компонентов Dr.Web не нужно, так как настройки по умолчанию соответствуют оптимальным.
Таким образом, сегодня мы узнали, что скрипты могут нести самую разную вредоносную нагрузку – являться эксплойтами, майнерами, различными вспомогательными утилитами, рекламными троянами и даже шифровальщиками. Чтобы обезопасить себя и свой компьютер, требуется использовать надежную защиту.
Компьютерные вирусы: опасное вторжение
В статье дана классификация вирусов по деструктивным возможностям, по среде обитания (сетевые, файловые, загрузочные, макровирусы, скрипт–вирусы) с поясняющим описанием, названиями и мерами профилактики.
Любой пользователь, независимо от наличия или отсутствия выхода в Интернет, хотя бы раз в своей жизни сталкивался с таким неприятным явлением как компьютерный вирус. Первой реакцией после обнаружения вирусной атаки, несомненно, является паника и страх за содержащуюся в компьютере информацию. Даже обладатель последней обновлённой версии популярной антивирусной программы подспудно в душе испытывает беспокойство. Ведь, как известно, сначала появляется вирус, и только потом через определённый промежуток времени – версия антивируса, способная его обнаруживать и обезвреживать.
Последствия действий вирусов весьма разнообразны. По размеру причиняемого вредоносного воздействия вирусы чисто условно можно разделить на следующие группы:
Чтобы не стать жертвой в войне за безопасность информации, обладателю «железа» следует иметь привычку постоянно анализировать работу компьютера. Если прослеживается одна или несколько из перечисленных ниже ситуаций, то срочно принимайте меры и проверяйте компьютер на наличие вирусов разными антивирусными программами.
Основные признаки проявления вирусов:
Для того чтобы бороться с врагом, нужно знать его в лицо. В зависимости от выявленного типа вируса и принимаются соответствующие меры для его блокировки или уничтожения.
Все существующие на данный момент времени компьютерные вирусы условно распределяют на следующие группы.
Файловые вирусы
Файловые вирусы:
Файловые вирусы используют файловую систему операционки. Такие вирусы внедряются в исполняемые файлы различных форматов (EXE, COM, BAT, SYS и др.), активизируясь при их запуске и обосновываясь в оперативной памяти компьютера. Эти вирусы являются активными (могут заражать другие файлы) вплоть до момента выключения компьютера или перезагрузки системы. При этом файловые вирусы не могут заразить файлы данных (например, содержащие изображение или звук).
Профилактическая защита от файловых вирусов: запретить запуск на выполнение файлов, полученных из сомнительного источника и предварительно не проверенных антивирусными программами.
Загрузочные вирусы
Загрузочный вирус (boot) заражает загрузочный сектор винчестера и вынуждает систему при её перезапуске передать управление не программному коду загрузчика операционной системы, а коду вируса.
Практически все загрузочные и файловые вирусы являются резидентными, то есть находятся в оперативной памяти компьютера и, перехватывая обращения операционной системы, внедряются в объекты, стирая данные и изменяя атрибуты файлов. В отличии от нерезидентных вирусов, такие вирусы активны не только в моменты запуска и работы заражённой программы, но и после завершения работы, вплоть до выключения компьютера.
Лечение от резидентных вирусов затруднено, так как даже после удаления заражённых файлов с диска, вирус остаётся в оперативной памяти, и возможно повторное заражение файлов. Для профилактики и своевременного обнаружения вторжений резидентных вирусов рекомендуется использовать антивирусные блокировщики (сторожа, фильтры) и установку в BIOS компьютера защиты загрузочного сектора от изменений.
Макровирусы
Макровирусы:
Макровирусы являются программами на языках, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.), являясь макрокомандами (макросами), которые пользователь встраивает в документ.
Используя возможности макроязыков для размножения, они переносят себя из одного зараженного файла в другие. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения – Word, Excel и пр. Макровирусы являются ограниченно резидентными, т.е. угроза заражения прекращается только после закрытия приложения.
Профилактическая защита от макровирусов состоит в предотвращении запуска вируса. При открытии документа в приложениях Word или Excel сообщается о присутствии в них макрокоманд (которые потенциально могут быть заражены вирусами) и предлагается запретить их загрузку. Выбор запрета на загрузку макросов надёжно защитит компьютер от заражения макровирусами, однако заодно отключит и полезные макросы, содержащиеся в документе.
Скрипт–вирусы
Скрипт–вирусы:
Встречаются и такие виды скрипт-вирусов, которые условно можно отнести к «злым шуткам». Такие вирусы значительно затрудняют и осложняют работу с компьютером, открывая бесконечное множество окон (чаще всего, рекламных), самостоятельно перемещая элементы рабочего стола и т.д.
Профилактической защитой от скрипт – вирусов будет служить наложение в браузере запрета загрузки активных элементов веб-страницы на локальный компьютер.
Смешанные типы
Помимо перечисленных групп вирусов, существует большое количество их сочетаний: например, файлово–загрузочный вирус, заражающий как файлы, так и загрузочные сектора дисков, или сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Трояны
Трояны:
Сетевые черви
Сетевые черви:
По сети могут распространяться абсолютно любые вирусы. Можно получить, например, заражённые файлы с серверов файловых архивов. Специфические сетевые вирусы используют для своего распространения электронную почту и Всемирную паутину.
Интернет-черви (worm) – это вирусы, которые распространяются в компьютерной сети во вложенных в почтовое сообщение файлах. Автоматическая активизация червя и заражение компьютера происходит при просмотре сообщения. Опасность таких вирусов заключается в том, что они находятся в неактивном состоянии, а активизируются по определённым датам и уничтожают файлы на дисках заражённого компьютера.
Кроме того, интернет-черви часто являются троянами, выполняя действия «троянского коня», внедрённого в операционную систему. Такие вирусы похищают, например, идентификатор и пароль пользователя для доступа в Интернет и передают их на определённый почтовый адрес. В результате, злоумышленники получают возможность доступа в Интернет за деньги ничего не подозревающего юзера. Точно таким же образом от Вас могут «уплыть» и данные, необходимые для доступа к вашему кошельку WebMoney и другим платёжным системам Интернета.
Сетевые черви способны распространяться самостоятельно и с огромной скоростью, часто вызывая настоящие эпидемии. Цепная реакция их распространения основывается на том, что вирус, после заражения компьютера, начинает рассылать себя по всем адресам электронной почты, которые имеются в адресной книге пользователя (если это Email –червь). Кроме того, может происходить заражение по локальной сети, так как червь перебирает все локальные диски и сетевые диски с правом доступа и копируется туда под случайным именем.
Профилактическая защита от интернет-червей состоит в том, что не рекомендуется открывать вложенные в почтовые сообщения файлы, полученные из сомнительных источников.
С каждым днём растёт количество пользователей Интернет. Вместе с тем, растёт количество вредоносного программного обеспечения. В арсенале хакеров и вирусописателей находится множество способов для создания вируса:
Но любой пользователь, располагая знаниями о вирусах и их воздействиях, установивший надёжную антивирусную программу (а лучше две), в силах обезопасить свой компьютер или, хотя бы, снизить риск деструктивного вмешательства вирусов в его систему.
Script.Virus-есть или нет угроза в файле
Добрый день, есть файл программы для редактирования биоса (извлечение биоса из ехе), при его запуске доктор веб пишет что найден и удален скрипт-вирус во временной папке виндовс и удаляет его, при проверке исходного ехе-файла доктор веб пишет что все в порядке и ничего нет, отправил файл на вирус тотал- там десяток антивирусов пишет что есть все таки троян, помогите понять- эта утилита заражена или нет
вот скриншот журнала доктора веба с найденным вирусом
каждый раз при запуске утилиты возникает новый скрипт во временной папке и доктор веб его удаляет
Помогите разобраться с файлом, файл приложил
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Что такое вредоносный код?
Это тип угрозы, которую, по данным «Лаборатории Касперского», могут блокировать далеко не все защитные решения.
Дело в том, что вредоносный код и вредоносное ПО – не одно и то же: под вредоносным ПО имеется в виду исключительно программное обеспечение, тогда как вредоносный код представляет собой скрипты веб-сайта, которые могут использовать уязвимости для загрузки вредоносного ПО.
Это автоматически исполняемое приложение, которое может активировать само себя и принимать различные формы, включая Java-апплеты, элементы управления ActiveX, размещенный контент, плагины, языки сценариев или другие языки программирования, предназначенные для улучшения веб-страниц и электронной почты.
Вредоносный код предоставляет киберпреступникам возможность получить несанкционированный удаленный доступ к атакованной системе (такая программа называется «бэкдор») и похитить важные данные компании.
Используя бэкдор, злоумышленники могут также уничтожить данные компьютера или установить на нем шпионское ПО. Этой угрозе могут подвергаться организации очень высокого уровня.
Скрипты, черви и вирусы могут нанести вред вашему компьютеру, находя точки входа, через которые они получат доступ к вашим ценным данным.
Посещение зараженных сайтов или нажатие на непроверенную ссылку во вложении к электронному сообщению являются основными воротами, через которые вредоносный код проникает в вашу систему.
Антивирусное ПО, которое включает автоматические обновления, возможности удаления вредоносных программ, защиту веб-браузера и функцию обнаружения всех типов заражений, является лучшей защитой.