El mundo de antivirus

martes 19 de enero de 2021

La edición de hoy está dedicada a la breve descripción de los scripts maliciosos, hablaremos de cómo los afronta Dr.Web, - y daremos consejos sobre cómo evitarlos.

Uno de nuestros lectores hizo una pregunta sobre los scripts maliciosos y la seguridad de trabajo en Internet en general. En particular, se interesaba por la protección contra las amenazas en JavaScript y otros scripts publicados por los malintencionados en las páginas web y también pidió algunos consejos sobre la configuración correcta del web antivirus Dr.Web. Le agradecemos esta pregunta tan oportuna y vamos a aclararlo todo.

Si empezamos a analizar todos los scripts maliciosos que suelen recibir los expertos de nuestro laboratorio antivirus, el articulo final parecerá un manual y no cabrá en el formato de “el Mundo de antivirus”. Seguramente Vd. ya habrá adivinado que es un tipo bastante variado y popular de malware.

¿Qué es un script malicioso?

En general, cualquier script es un código de software (escenario) creado en varios lenguajes interpretados. Todos los scripts se ejecutan con un programa externo, un interpretador. A diferencia de los archivos ejecutables, los scripts en su mayoría existen como archivos de textos y cualquier persona puede leerlos. Por ejemplo, casi no se puede recuperar el código fuente de un archivo compilado, pero los scripts siempre contienen el código fuente. El funcionamiento de los scripts “malos” y “buenos” es similar.

Los scripts maliciosos pueden ser de dos tipos.

1. Los scripts que se incrustan en el código de las páginas web, se interpretan por el navegador y ejecutan las acciones establecidas por los malintencionados.
2. Los scripts destinados para el inicio en el equipo del usuario. Se ejecutan por los componentes del sistema operativo y puede acceder a API (sistema de archivos, procesos etc.).

En caso de trabajo en Internet normalmente se trata del primer tipo de los scripts maliciosos. Estos scripts normalmente se crean en JavaScript y PHP. Están en el código de las páginas de los sitios web maliciosos o hackeados e intentan dedicarse al mining de la criptomoneda en el navegador del usuario, visualizan la publicidad para falsificar los resultados, redirigen a otros sitios web, frecuentemente fraudulentos y peligrosos. A los scripts web se refieren también los infectores PHP que infectan a los scripts “buenos” en la parte de servidor. Además, un script malicioso puede formar parte de extensiones para navegadores.

En teoría, un script de una página web puede ser usado como exploit, un conjunto de los datos interpretados por el navegador de forma errónea que permite acceder al sistema atacado. Pero actualmente estos exploits son cada vez menos frecuentes porque hay navegadores que restringen el acceso a las funciones del SO; por lo tanto, un código malicioso en el sitio web rara vez puede dañar al equipo en total. Pero, a pesar de esto, las funciones destructivas mencionadas son suficientes para afectar bastante a cualquier usuario. La publicidad, la fraudulencia, el phishing, la ralentización del funcionamiento del navegador y hasta el hackeo de los sitios web, - todo esto se refiere a los scripts web. Además, son de plataformas cruzadas y muy populares, porque los malintencionados los usan ampliamente para infectar las páginas web y los servidores web.

Pero el peligro radica no solo en los sitios web. Otro tipo de scripts maliciosos son los scripts iniciados por los componentes del SO. Pueden ser creados en varios lenguajes de script: JScript, VBS, PowerShell, Perl, Python y muchos otros. Estos scripts con más funcionales y peligrosas porque contactan directamente a los objetos API. Aunque los scripts muy pocas veces contienen la funcionalidad básica, frecuentemente se usan para la carga inicial de otros módulos maliciosos en los sistemas infectados, o para las acciones intermediarias u operaciones extra. Por ejemplo, en Windows frecuentemente hay scripts PowerShell que contienen exploits o utilidades para la promoción por el sistema/la red. Aunque los scripts se consideran herramientas de plataformas cruzadas, algunos de ellos funcionan solo en los SO destinados para el mismo porque para su funcionamiento es importante la presencia de algunos API del sistema. Los mencionados scripts PowerShell, así como BAT y JScript funcionan en Windows, AppleScript sirve para macOS, y el malware para Linux más popular son los scripts bash.

Los scripts de sistema para SO frecuentemente se difunden por correo electrónico, se propagan en los sitios web hackeados y maliciosos, se descargan por otros programas, se difunden de forma autónoma a través de los dispositivos extraíbles o los recursos de red.

Cabe destacar que casi todos los scripts maliciosos (y no solo ellos) están ofuscados de alguna forma. Significa que para la detección de los mismos frecuentemente se aplican otras tecnologías y no la comparación por firmas tradicional.

Para desinfectar los scripts del sistema en Windows aplicamos los algoritmos de aprendizaje automático incrustados en el núcleo antivirus básico. Este enfoque permite detectar correctamente un código malicioso sin importar la sofisticación del mismo, una cosa imposible en caso de análisis basado en firmas.

Para bloquear los web scripts se usa nuestro analizados heurístico y el web antivirus – SpIDer Gate. Cabe destacar que para la protección eficaz no hace falta configurar algún componente de Dr.Web porque la configuración predeterminada corresponde a la óptima.

De esta forma hoy hemos aprendido que los scripts pueden tener carga maliciosa de varios tipos, ser exploits, miners, varias utilidades extra, troyanos de publicidad y hasta cifradores. Para proteger a sí mismo y a su equipo, se recomienda usar protección segura.