-
Ajouter aux favoris
Protégez tout !
jeudi 27 avril 2017
Pour pénétrer dans un ordinateur, les pirates informatiques utilisent tous les moyens. Par exemple, des scripts.
Un script est un type de programme informatique. Tout comme les programmes traditionnels, les scripts exécutent une séquence d’actions et peuvent être assez compliqués. Mais, contrairement aux programmes, les scripts après avoir été écrits ne doivent pas être transformés en un code exécutable (ils ne requièrent pas de compilation). Pour lancer les scripts, il faut avoir un programme externe (interprétateur) sans lequel ils ne peuvent pas fonctionner.
Très souvent, sur les pages des sites web, on utilise des scripts écrits en JavaScript. L’utilisation des scripts permet notamment d'obtenir l’apparence souhaitée d’une page web sans tenir compte du type de navigateur ni de la résolution de l'écran.
Un des avantages des scripts est leur indépendance par rapport aux types de plateformes, ils sont multiplateformes : le même script peut être exécuté sur une variété de dispositifs et sous différents systèmes d’exploitation. Et les auteurs de virus apprécient eux aussi cet avantage.
Tout d'abord, le virus est un programme sophistiqué qui comprend généralement plusieurs modules. L’un d’eux est un exploit. Son objectif principal est d’exploiter une vulnérabilité déjà connue afin d'obtenir une possibilité d’exécuter un code (par exemple).
Si nous regardons la liste des vulnérabilités, nous verrons qu’un grand nombre d'entre elles contiennent JS.
Le navigateur, comme toute autre application, a accès au système de fichiers (l’accès qui permet d'écrire, lire ou de créer des fichiers non-système), par le biais de l’API du système d’exploitation (par exemple : WinAPI pour Windows). A l'intérieur du système, cela se présente comme un appel système - le programme transmet le contrôle au bas niveau, au niveau du noyau, en indiquant ce qu'il faut ouvrir/créer/quel fichier il faut enregistrer.
Cela provoquera sans doute un crash du navigateur mais peu importe, le code sera déjà intégré et exécuté. Bien sûr, il existe encore 100500 variantes diverses dont personne ne vous parlera, mais l’idée est claire.
C'est effrayant ? En fait, les fichiers malveillants mis en œuvre en utilisant JavaScript sont utilisés à des fins plus simples : par exemple, pour télécharger d’autres fichiers malveillants. Et ils ne provoquent aucun problème des navigateurs web. Il suffit de consulter tout rapport viral publié par Doctor Web pour voir quelle est la popularité de JavaScript parmi les auteurs de virus :
JS.DownLoader – famille de scripts malveillants écrits en JavaScript. Ils téléchargent et installent sur l'ordinateur d’autres logiciels malveillants.
Naturellement, une telle menace ne pouvait pas passer inaperçue auprès des développeurs de l'antivirus et en 2011, Dr.Web s'est enrichi d'une nouvelle technologie.
La technologie ScriptHeuristic empêche l'exécution de tous les scripts malveillants dans les navigateurs et documents PDF sans compromettre la fonctionnalité des scripts légitimes. Protège contre la contamination par des virus inconnus via le navigateur web. Fonctionne indépendamment de l'état de la base virale Dr.Web avec n'importe quel navigateur web.
Un des aspects pratique des langages utilisant des scripts est qu'ils permettent d’automatiser les actions quotidiennes, sans l’installation d’outils de développement. Pour utiliser un langage de script, il suffit d’avoir un simple éditeur de texte et un composant de système d’exploitation qui est responsable de l'exécution des scripts correspondants. Mais JavaScript n’est pas le seul langage de ce type que vous pouvez avoir sur votre ordinateur. Ce langage est optimisé pour le fonctionnement dans les navigateurs web. Par conséquent, Microsoft a développé un équivalent à JavaScript - JScript. JScript est exécuté à l’aide de Windows Scripting Host (WSH).
Windows Script Host (WSH; appelé auparavant Windows Scripting Host, et renommé pour la deuxième version) est un composant de Microsoft Windows qui est conçu pour exécuter des scripts écrits en langages JScript et VBScript, ainsi que dans les autres langues installées (telles que Perl, par exemple).
Exemple d’utilisation de JScript :
Trojan.Encoder.4860
ransomware également connu sous le nom JS.Crypt, entièrement écrit en JScript. Le Trojan s'est donné le nom de " virus RAA ", et les fichiers chiffrés reçoivent l'extension *.locked.
Un autre langage de script, PowerShell.
Windows PowerShell est un outil d’automatisation de Microsoft de type open source, consistant en un shell ayant une interface en ligne de commande et un langage de scripts associé.
Windows PowerShell fournit également un mécanisme d'intégration permettant d'implanter les composants exécutables de PowerShell dans d'autres applications. Ces applications peuvent ensuite utiliser les fonctionnalités de PowerShell pour diverses opérations, y compris celles disponibles par le biais de l’interface graphique.
Windows PowerShell 2.0 est sorti au sein de Windows 7, Windows 8, Windows Server 2008 R2 et Windows Server R2 2012, comme un composant du système. De plus, la deuxième version est disponible pour les autres systèmes, tels que Windows XP SP3, Windows Server 2003 SP2, Windows Vista SP1, Windows Vista SP2, Windows Server 2008 et Windows Server 2012.
Windows PowerShell est basé sur Microsoft .NET Framework et y est intégré.
Et la menace correspondante :
La vulnérabilité a été détectée dans Microsoft Word. Les attaquants ont mis au point un exploit utilisant cette vulnérabilité sous forme d'un document Microsoft Word. Lorsque vous essayez d'ouvrir le document, un autre fichier nommé doc.doc est téléchargé. Ce fichier contient un scénario HTA qui est détecté par Dr.Web comme PowerShell.DownLoader.72. Ce scénario HTA écrit en utilisant la syntaxe de Windows Script, appelle l'interprétateur de commandes PowerShell. Ce dernier traite un autre script malveillant qui télécharge sur la machine contaminée un fichier exécutable.
À l'heure actuelle, en utilisant ce mécanisme, les malfaiteurs installent sur les ordinateurs de leurs victimes le Trojan.DownLoader24.49614 qui est capable de télécharger et lancer sur la machine contaminée d'autres logiciels dangereux.
Souhaitez-vous savoir si votre système permet d'exécuter les scripts PowerShell ? Cliquez sur Démarrer → Exécuter → powershell.
Puisque les malfaiteurs utilisaient les langages de scripts JScript et PowerShell, Dr.Web devait renforcer la protection. En conséquence, le module de protection Dr.Web Amsi-client, assurant la vérification des scripts exécutés PowerShell, JavaScript et VBScript a été développé.
Ce composant est disponible au sein de Dr.Web Antivirus et Dr.Web Security Space et fonctionne sur les ordinateurs sous Windows 10 (x 86, x 64) et Windows Server 2016. Dr.Web Amsi-client est géré sur l'onglet Paramètres du moniteur de fichiers SpIDer Guard.
Le projet Lumières sur la sécurité recommande
Les mises à jour des produits antivirus ne sont pas publiées pour déranger les utilisateurs ou leur rappeler que l'antivirus existe. Chaque mise à jour contient des modifications et améliorations importantes. Si l'antivirus requiert un redémarrage, cela veut dire sans doute que votre protection doit être renforcée, notamment pour résister à des nouvelles menaces. N’ignorez surtout pas ces invites de redémarrage, mieux vaut patienter deux minutes pendant le redémarrage que se retrouver à gérer les conséquences d'une contamination inattendue.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 2 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
Неуёмный Обыватель
03:35:10 2018-07-20
Bernard
17:10:12 2017-04-27
C'est important de faire évoluer les modules en regard du perfectionnement continu des méthodes des cyber attaquants.
Merci