Analiza tipičnog JavaScript virusa

Kako bi pomogli administratorima u borbi sa ovim načinom infekcije analiziram tipičan primer JavaScript virusa koji potencijalno može da inficira računare ransomwareom.

Analiza tipičnog JavaScript virusa

Crypto ransomware i druge vrste virusa i trojanaca zadnjih nedelja stižu emailom u velikom broju. Na žalost, deo korisnika, nepažljivo otvara priloge ovakvih poruka i startuje ih, čime inficira svoj računar, a često i mrežne diskove.

Kako bi pomogli administratorima u borbi sa ovim načinom infekcije analiziram tipičan primer JavaScript virusa koji potencijalno može da inficira računare ransomwareom. Poruka koju primite može da izgleda ovako: U prilogu poruke se vidi .zip fajl koji kada otvorite u sebi sadrži običan JavaScript fajl:

Ako pogledate u bilo kom text editoru sadržaj ovog fajla videćete JavaScript: Već na prvi pogled je jasno da je pravi JavaScript kod sakriven (obfuscated). Upravo ovo "skrivanje" otežava posao klasičnim antivirusima u pronalaženju koda koji je zapravo virus. Pažljivim čitanjem (ili korišćenjem search funkcije) potražićemo eval() funkciju koja zapravo izvršava ovako sakriven JavaScript kod:

Da bismo videli šta se krije iza eval() funkcije, zamenićemo je sa alert() funkcijom, koja će umesto da izvrši kod, samo da ga prikaže:

Da bismo videli šta se krije iza ovako sakrivenog koda, izvršićemo ovaj JavaScript. Nemojte pokretati JavaScript na svom računaru, možete da iskoristite neki od online servisa koji će izvršiti JavaScript i prikazati rezultat:

Dobijeni kod je zapravo Windows Script kod koji izvršavanjem preuzima zlonamerni kod sa interneta u %TEMP% folder i pokreće ga. Ovako preuzeti kod može biti trojanac, crypto locker ili neki drugi oblik pretnji/virusa. Pored osnovnog koraka - da se korisnici nauče da ne otvaraju ovakve emailove, niti da klikću na priloge u njima, administratori mogu dodatno da se obezbede sprečavanjem izvršavanja WSH (Windows Script Host) u Windows-u, kreiranjem jednog od sledeća dva Registry ključa:

HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\Enabled

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled

i dodeljivanjem vrednosti 0 (REG_DWORD).

Kada korisnik (kod prvog slučaja) ili na računaru (u drugom slučaju, bez obzira ko je logova) pokrene eventualno Window Script dobiće poruku:

Windows Script Host access is disabled on this machine. Contact your administrator for details.

Na žalost, ova mera će onemogućiti i mnoge druge programe koji koriste VBScript ili JScript i ne preporučujemo je, osim u krajnjoj nuždi!