¿Cómo se ejecuta el malware descargado por JavaScript y por qué distribuiría el malware en un archivo .js?

Navega tus respuestas
1

Tengo dos preguntas sobre JavaScript como vector de infección. La primera es sobre un usuario que se infecta mientras visita un sitio web, y la segunda es sobre una infección por correo electrónico a través de un archivo adjunto.

1) Incluso si el usuario descarga correctamente el malware, ¿no tendría que ejecutarlo él mismo para infectar su sistema?

Estoy hablando de un caso en el que no se utilizan agujeros de seguridad en complementos como Flash o Java. En el mejor de los casos, el usuario tendría un archivo binario en su carpeta de descargas, tal vez sin siquiera saber que está allí. Entonces, ¿qué?

2) En los correos electrónicos maliciosos, ¿por qué enviaría un archivo .js como archivo adjunto que descargará el malware en lugar del propio malware directamente?

Incluso he leído sobre archivos JS en archivos zip. ¿Por qué? La mayoría de las personas analfabetas no sabrían cómo descomprimir un archivo y luego tratar de abrir el documento.

    
pregunta delgan 15.07.2016 - 21:00
fuente

1 respuesta

4
  

Incluso si el usuario descarga correctamente el malware, ¿no tendría que ejecutarlo él mismo para infectar su sistema?

En el caso de que no se haya utilizado ningún exploit, el malware debe descargarse y ejecutarse explícitamente por el usuario. Esto generalmente se hace a través de la ingeniería social, es decir, declare el software como una actualización de software o un complemento necesario para ver algún contenido ilegal, como un antivirus necesario para resolver un problema inmediato (scareware) o el malware simplemente se incluye con el software que le gusta al usuario utilizar.

  

En correos electrónicos maliciosos, ¿por qué enviaría un archivo .js como archivo adjunto que descargará el malware en lugar del malware en sí mismo?

La ola actual de malware en los correos electrónicos utiliza .js (o con menos frecuencia .vbs y .wsf) en un archivo (en su mayoría .zip). Si el archivo se extrae del archivo y se ejecuta, no será ejecutado por el navegador sino por el host de scripting de Windows (WSH). WSH no tiene las restricciones ni las medidas de seguridad del navegador, lo que significa que el programa WSH puede descargar el archivo y ejecutarlo de inmediato sin que el usuario tenga que hacerlo manualmente.

Tener un .js es más inocente que un .exe o .com como archivo adjunto y la posibilidad de que el antivirus lo bloquee es menor. Y, por lo general, los archivos .js están muy ofuscados y es imposible declarar una firma fija para el archivo o incluso tener una ejecución confiable dentro de una caja de arena. Además, el servidor web a menudo sirve el archivo ejecutable con un tipo de contenido inocente (es decir, se afirma que está en la imagen) para que el firewall no lo escanee.

    
respondido por el Steffen Ullrich 15.07.2016 - 21:14
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo fortalecer los compiladores (como lo sugiere Lynis)? ¿Cómo intercepta el ISP el tráfico web?