comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Malware scripting: evita que se ejecute en tu PC

  • 3 Respuestas
  • 2007 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 873
  • Actividad:
    6.67%
  • Reputación 15
    • Ver Perfil
    • Email
« en: Septiembre 09, 2015, 10:29:36 am »


A lo largo de las investigaciones y reportes que realizamos desde el Laboratorio de Investigación de ESET Latinoamérica sobre las amenazas que se propagan en la región, hemos podido analizar una amplia variedad en los códigos maliciosos, en sus metodologías de propagación, infección y persistencia, principalmente utilizando lenguajes de scripting (JavaScript, Visual Basic Script y Python son algunos de los lenguajes más utilizados actualmente).

En este post describimos algunas características del malware scripting para llegar a entender por qué estos lenguajes de programación se han convertido en una herramienta utilizada por los cibercriminales, las posibilidades que ofrece sobre un sistema comprometido y cómo es posible protegerse de este tipo de códigos maliciosos.

¿Qué son los script y qué los diferencia de los archivos ejecutables (.EXE)?

Los scripts son programas generalmente pequeños y simples, utilizados para automatizar tareas específicas. Contienen un conjunto de instrucciones que deben de ser interpretadas línea a línea en tiempo real; esta es la diferencia que presentan con otros programas que deben estar compilados en un archivo binario ejecutable (.EXE) para poder correrlos.
Microsoft desarrolló su propio motor y entorno de ejecución de scripts llamado “Windows Script Host”, que permite el uso de varios lenguajes de scripting.

¿Por qué los cibercriminales utilizan este tipo lenguajes?

La respuesta es sencilla: los scripts tienen la capacidad de interactuar y hacer uso de las librerías o recursos del sistema operativo de una manera muy simple. Además, no tienen la necesidad de compilar el código para poder ser ejecutados.
Particularmente Javascript y Visual Basic Script son los lenguajes preferidos por los atacantes, porque además de estar enfocados en el desarrollo web, pueden ser utilizados en sistemas operativos Windows.

De esta manera, con unas pocas líneas de código, un atacante puede desarrollar un troyano que será interpretado por el proceso “Windows Script Host”, que al ser legítimo del sistema operativo, no va a ser considerado malicioso.

Algunos de los códigos maliciosos más vistos en Latinoamérica son VBS/TrojanDownloader, VBS/Agent.NDH y JS/Bondat. Estos dos últimos son scripts más elaborados y a su vez más robustos, y por las características que tienen, el hecho de que alguno se ejecute en un equipo significaría que forma parte de una botnet.

Para poder llegar al punto de infección mencionado, los atacantes -como en cualquier otro tipo de campaña maliciosa- hacen uso de técnicas de Ingeniería Social para que el usuario descargue y ejecute el script, y así se logre la infección. Un factor decisivo para lograr confundir al usuario desprevenido es la similitud visual que adoptan los scripts con los archivos del paquete Microsoft Office (Word, Excel, Power Point, etc.), como pudimos ver en el caso de aquellos que afectaban a Colombia y Venezuela.


¿Cómo evitar que este tipo de códigos se ejecute en un equipo?

Permitir o no la ejecución de scripts depende en gran medida del uso que le den los usuarios a este tipo de archivos, sea en tareas de desarrollo, trabajo cotidiano o una simple automatización.
La forma de impedir que los scripts logren ejecutarse es agregando dos llaves en el registro de Windows. Para esto, debemos:



Al finalizar los procedimientos anteriores, las llaves de registro deberían verse de la siguiente manera:



Al momento de intentar ejecutar un script, el sistema operativo abrirá una ventana indicando un error al ejecutar el intérprete “Windows Host Script”, como se ve en la siguiente imagen:


Recomendamos estar atentos a este tipo de archivos, dado que a pesar de parecer simples en términos de desarrollo, se valen de múltiples medios de propagación como dispositivos extraíbles o correos spam con diferentes engaños -dentro los más comunes aquellos que dicen ser documentos de ofimática.

Finalmente, es importante no olvidar verificar la extensión del archivo más allá de su ícono. De esta forma, si es por ejemplo .VBS o .JS, se puede verificar si se trata de un script, y de esta manera evitar su ejecución. En consecuencia, no se comprometerá severamente la seguridad del sistema ni la información del mismo, y el malware scripting no será una preocupación.

Fuente: welivesecurity.com


Desconectado D3ivid

  • *
  • Underc0der
  • Mensajes: 288
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • Email
  • Twitter: @deividventas
« Respuesta #1 en: Septiembre 09, 2015, 10:50:33 am »
Información de 10 , muchas gracias @No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado Yavi

  • *
  • Underc0der
  • Mensajes: 169
  • Actividad:
    0%
  • Reputación 0
  • Es como una pagina redirigiendose a si misma
    • Ver Perfil
    • Email
  • Skype: yavios@hotmail.com
  • Twitter: @YaviOS64
« Respuesta #2 en: Septiembre 09, 2015, 11:37:12 pm »
Y si algún programa necesita ejecutar un script?
"Eso es lo bueno de internet. De que sirve internet si chateas con tus vecinos??? para eso te sacas unas sillas al fresco y hablais y jugais a las cartas". @windux

Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 214
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #3 en: Septiembre 10, 2015, 05:06:45 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Y si algún programa necesita ejecutar un script?
Eso mismo iba a preguntar yo. Creo que el instalador de drivers de nVidia utiliza algunos scripts en .vbs. Voy a hacer el tweak que dice Gabriela en mi sistema anfitrión de escritorio y ya iré reportando en este mismo post la experiencia y los resultados. (En otras palabras: Si algo sale mal vendré a avisar)
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

 

¿Te gustó el post? COMPARTILO!



Theola, malware utiliza plugin de Chrome para fraude bancario

Iniciado por LucaSthefano

Respuestas: 0
Vistas: 1340
Último mensaje Marzo 23, 2013, 05:52:03 pm
por LucaSthefano
Extensión de Chrome para análisis online de malware con UrlQuery

Iniciado por ZanGetsu

Respuestas: 0
Vistas: 1256
Último mensaje Mayo 03, 2013, 01:10:23 am
por ZanGetsu
Detectando malware y eliminando de manera Básica y sencilla

Iniciado por Sanko

Respuestas: 1
Vistas: 1424
Último mensaje Marzo 31, 2012, 07:24:37 pm
por baron.power
Nuevas versiones del malware de la policia y como eludirlas

Iniciado por Pr0ph3t

Respuestas: 0
Vistas: 1523
Último mensaje Mayo 24, 2012, 03:51:47 pm
por Pr0ph3t
Analizando malware en Android: primeros pasos

Iniciado por LucaSthefano

Respuestas: 1
Vistas: 1830
Último mensaje Diciembre 15, 2012, 04:36:57 pm
por Pr0ph3t