Вредоносные HTML-страницы или защита от детектирования

Специалисты регулярно сообщают о детектировании HTML-страниц. Напомним, их зловредители используют, чтобы распространять вредоносные программы или же с целью использовать в качестве части мошеннической схемы. Подобные создатели регулярно придумывают все новые способы, дабы скрыть их от постоянно обновляющихся антивирусных программ. Так в прошлом месяце злоумышленники использовали уникальные каскадные таблицы стилей (CSS). Цель: защита вредоносных скриптов от простого детектирования. В результате, на вредоносных HTML-страницах, тег вытесняет CSS. Так как, используя тегу <textarea> можно отобразить поля ввода. И поэтому все зловредители используют этот тег в качестве контейнера для хранения своих данных, что позже будут использоваться в основным скрипте. Отметим, что в марте 2011 года Trojan-Downloader.JS.Agent.fun являющийся детектом одной из веб-страниц, где была обнаружена уникальная комбинация вредоносного скрипта, а также теги <textarea>, что содержит различные данные для скрипта легко попал в TOP 20 на <nobr>9-е</nobr> место в рейтинге. Работает так: скрипт, используя свои данные в теге <textarea>, используя различные методики запускает и другие эксплойты. Говоря о фальшивых онлайн-антивирусах, заметим, что сегодня веб-страница, где имитируется сканирование вашего компьютера и как результат предлагается покупка «антивируса», — зашифрована, плюс выполнена она в виде полиморфного JavaScript-скрипта, а это усложняет всю процедуру ее легкого детектирования любыми антивирусными компаниями. К тому же, подобные полиморфные уникальные скрипты детектируются специалистами Лаборатории Касперского как Trojan.JS.Fraud.bl, при этом занимают <nobr>18-е</nobr> место в спискевсех вредоносных программ в сети, а Trojan.JS.Agent.btv −8-е место в рейтинге.