El mundo de antivirus

miércoles, 27 de febrero de 2019

Todos conocen el archivo Eicar – usando el mismo, se puede comprobar fácilmente si funciona el monitor de archivos del antivirus y si el antivirus previene la descarga de los archivos nocivos de la red. Pero en realidad tiene aún más posibilidades.

Supongamos que nos interesa si nuestro antivirus detecta los sitios web con scripts nocivos. Nos ayudará un recurso conocido.

Una página bastante primitiva que contiene solo pocas líneas:

<HTML> <meta http-equiv=”Content-Type” content=”text/html”>
<meta http-equiv="Content-Language" content="ru" charset="windows-1251">
<BODY onload="javascript:history.back()">
<SCRIPT Language=VBScript>X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>
<SCRIPT Language=VBScript>'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*'</SCRIPT>
<SCRIPT Language=VBScript>MSGBOX "El antivirus no bloquea los scripts nocivos en las páginas consultadas"</SCRIPT>
</BODY>
</HTML>

En caso del escaneo de tráfico activado el antivirus Dr.Web funciona correctamente:

¿Vd. opina que es una prueba primitiva a la cual deben someterse todos los navegadores?

Más abajo hay varias referencias.

Un antivirus:

En la página hay una prueba con EICAR, al descargar los archivos la protección funcionó, al escanear un enlace – no.

Segundo:

En mi equipo ... no bloqueó esta página con el virus de prueba.

Tercero:

..., no superó una prueba fácil de protección web a través del Chrome de la última versión.

Copiamos el contenido en el archivo eicar.html

Intentamos descargar el archivo del navegador:

Es muy raro, el archivo fue descargado como un archivo de prueba. Vamos a ver la línea de dirección del navegador con más atención y vemos: hemos descargado un archivo eicar.html.txt y no eicar.html. ¿Por qué?

Lo que pasa es que el SO Windows de forma predeterminada no visualiza las extensiones y en realidad no hemos creado el archivo eicar.html, sino eicar.html.txt, pero no vemos su extensión actual. A propósito, es un truco que usan activamente los malintencionados.

Vamos a corregir la situación. Abrimos el Panel de control y en el mismo – Opciones del navegador:

Pestaña Ver → Opciones avanzadas → Ocultar extensiones... Desactivamos la casilla:

Cambiamos el nombre del archivo por eicar.html, intentamos iniciarlo. El sistema nos solicita indicar la aplicación que procesará este tipo del archivo. Indicamos el navegador requerido:

Internet Explorer:

Mozilla Firefox:

¿Qué pasa? Lo que pasa es que, si iniciamos un archivo y no descargamos el recurso por la red, el mismo será escaneado por el monitor de archivos SpIDer Guard. Como hacemos pruebas del escaneo de tráfico, lo desactivamos.

Y ora vez no vemos la amenaza – el navegador visualiza una página de texto vacía.

Nuestro error es que hemos cargado el archivo en el navegador desde el disco. Y el escaneo del tráfico funciona antes de cargar los recursos al navegador. Vamos a corregirlo, colocamos el archivo en un recurso externo y lo iniciamos.

¿Qué hemos confirmado con esta prueba? El sistema de escaneo del tráfico detecta los scripts nocivos antes de que los mismos se carguen en el navegador. Es muy importante porque los archivos pueden ser descargados por varios sistemas, no solo por navegadores. Y el sistema de protección detectará la amenaza antes de que la misma se cargue e intente ser ejecutada.

Como hemos entendido el principio de funcionamiento, podemos hacer un experimento.

VBScript no es tan popular como JavaScript. Vamos a modificar la página:

<HTML>
<meta http-equiv="Content-Type" content="text/html">
<meta http-equiv="Content-Language" content="ru" charset="windows-1251">
<BODY onload="javascript:history.back()">
<SCRIPT type="text/javascript">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>
<SCRIPT Language=VBScript>MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</SCRIPT> 
</BODY>
</HTML>
  

SpIDer Gate detectará esta opción también.

#navegador #script #escaneo_del_tráfico #pruebas_de_antivirus