Kaspersky Lab: szkodliwe programy III 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy II 2011

Korzystanie ze znaczników <textarea>

W naszym lutowym raporcie napisaliśmy, że cyberprzestępcy wykorzystywali Cascading Style Sheets (CSS) do ochrony skryptów przed wykryciem. Obecnie zamiast CSS wykorzystują oni znaczniki <textarea> na swoich szkodliwych stronach HTML.

Znacznik <textarea> jest wykorzystywany do wyświetlania pola, w którym można wprowadzać tekst.
Cyberprzestępcy używają znaczników jako kontenera do przechowywania danych, który później zostanie wykorzystany przez główny skrypt.

W marcu Trojan-Downloader.JS.Agent.fun, strona internetowa wykorzystująca kombinację szkodliwego skryptu i znacznika <textarea> zawierającego dane dla tego skryptu, pojawił się na 9 pozycji w rankingu 20 szkodliwych programów w Internecie. Skrypt wykorzystujący dane w znaczniku <textarea> uruchamia inne exploity na kilka różnych sposobów.

Strony szyfrowane

We wcześniejszych raportach (grudniowym i styczniowym) omawialiśmy fałszywe programy antywirusowe. Obecnie strony internetowe imitujące skanowanie komputera i próbujące zmusić użytkowników do zakupu konkretnego rozwiązania ‘antywirusowego’ są szyfrowane i używają polimorficznego JavaScriptu, przez co są trudniejsze do wykrycia przez program antywirusowy.

Takie polimorficzne skrypty są wykrywane jako Trojan.JS.Fraud.bl - obecnie na 18 miejscu w rankingu szkodliwych programów w Internecie - oraz Trojan.JS.Agent.btv (8 miejsce).