¿Cómo los antivirus identifican las páginas maliciosas cuando JavaScript no tiene acceso al sistema de archivos de todos modos?

Navega tus respuestas
3

Descargo de responsabilidad: no tengo muchos conocimientos sobre el comportamiento de los antivirus (anti-viri?).

Me preguntaba cómo distinguen entre páginas maliciosas y no maliciosas si todo lo que pueden leer son HTML y JavaScript.

¿Solo tienen una lista de sitios que se consideran maliciosos que se actualizan? ¿Si tiene .exe archivos descargables? ¿Cómo?

    
pregunta Mark Gabriel 31.03.2015 - 02:35
fuente

3 respuestas

1

HTML y JavaScript, cuando se emplean de manera específica, pueden usarse para operar su sistema, incluso el enrutador de su hogar. Los vectores de ataque contra un navegador web involucran cosas como:

  1. archivos de complementos maliciosos (principalmente Flash, Silverlight) que explotan vulnerabilidades en el complemento (Flash Player, Silverlight Player)
  2. JavaScript que explota vulnerabilidades en el motor de JavaScript del navegador
  3. Ataques XSS que intentan engañar al usuario para que renuncie a las credenciales de otro sitio web (por ejemplo, bancos, PayPal, etc.) que el atacante puede usar para obtener ganancias financieras.

Los programas antivirus que protegen las sesiones de navegación buscan y anulan vulnerabilidades conocidas como XSS y complementos maliciosos. Si la historia es una guía, siempre hay vulnerabilidades no reportadas, por lo que siempre hay oportunidades para los hackers.

    
respondido por el Robert Munn 31.03.2015 - 08:14
fuente
1

Al igual que el antivirus identifica el malware en su máquina local, verificando las firmas de virus.

Aunque normalmente no se puede ejecutar código ejecutable a través de su navegador web, si hay una falla en el navegador o en un complemento como Flash o Java, entonces la página web puede explotar esto para activar un " drive by download ".

El ejemplo es este desbordamiento de pila en Internet Explorer cuando intenta analizar <col> elementos HTML en el página. Las herramientas AV podrían estar buscando para ver si la página implementa este exploit observando la construcción de los elementos <col> , o buscando shellcode firmas dentro de cualquier contenido de la página (es probable que sea lo último, ya que esto sería más universal y no estaría vinculado a un exploit específico).

    
respondido por el SilverlightFox 31.03.2015 - 10:48
fuente
0

Hoy en día, casi todos los programas de antivirus vienen con una extensión de navegador. Cuando instala el Antivirus, automáticamente instala sus extensiones en los navegadores. Esta extensión observa las acciones del usuario y busca códigos maliciosos. El software antivirus moderno intenta proteger al usuario de ataques conocidos mediante el uso eficiente de esta técnica.

    
respondido por el Batuhan 01.06.2015 - 09:30
fuente

Lea otras preguntas en las etiquetas

¿Qué KDF debería usarse para las ECIES? Donde comenzar, asegure un AWS Ubuntu 14.04 [cerrado]