ويروس Exploit-CVE2012-4681
چيست؟
ويروسی با میزان انتشار (درجه خطر) کم که عملکرد “اسب تروا” (Trojan) داشته و در واقع یک اپلت جاوا (Java Applet) می باشد که با سوءاستفاده از نقطه ضعفی (CVE2012-4681) در برنامه ی جاوا به سیستم دسترسی پیدا نموده و اقدام به دریافت برنامه های ناخواسته و مخرب دیگر کرده و بدون اجازه ی کاربر بر روی سیستم اجرا می نماید. اوليــن نمـونـه اين ويروس در شهریور ماه سال جاری (1391) مشـاهــده شده است. در حال حاضر میزان آلودگی به این اسب تروا در خاورمیانه پایین بوده و بیشترین آلودگی در ایالات متحده ی امریکا مشاهده شده است.
نامگذاری ها
اين ويروس با نامهای زير نیز شناسايی می شود:
| Exploit-CVE2012-4681 | McAfee |
| Exploit:Java/CVE-2012-4681.GJ | Microsoft |
| Exploit.Java.CVE-2012 | Ikarus |
| W32/Java.IG!tr | Fortinet |
انتشار
در صورتی که یک فایل HTML آلوده که حاوی کد مخرب این اپلت جاوا می باشد بر روی سیستمی اجرا شود، باعث آلوده شدن آن سیستم خواهد شد.
همچنین مشاهده ی صفحات وبی که میزبان این اسب تروا هستند باعث نصب و انتشار آن بر روی دستگاه می شود.
خرابکاری
اسب تروای Exploit-CVE2012-4681 به صورت یک اپلت جاوا از طریق یکی از سایت های وب میزبان وارد سیستم می شود. این اپلت حاوی کد مخربی است که از نقطه ضعفی در برنامه ی جاوا جهت حمله به سیستم استفاده می نماید. هدف از این حمله دریافت پنهانی برنامه های مخرب و دیگر ویروس ها و اجرای آنها بر روی سیستم قربانی بدون اطلاع کاربر است. یکی از نشانه های این موضوع می تواند وجود ترافیک غیرمعمول به یک دامنه ی مشکوک ناشناخته باشد.
فایل های مخرب زیر توسط این اپلت وارد سیستم آلوده می شوند:
Gondvv.class
Gondzz.class
Third.class
Base64.class
New.class
Balsef.class
LMkjes.class
به طور معمول این اسب تروا به صورت یک بسته نرم افزاری شامل 2 فایل با پسوند .class می باشد. در این دو فایل کدهای نوشته شده به زبان جاوا (Java) وجود دارد. یکی از کلاس فایل ها مسئول اجرای حمله و استفاده از نقطه ضعف سیستم بوده و دیگری مسئول دریافت و اجرای پنهانی برنامه های مخرب و دیگر ویروس ها بر روی سیستم می باشد. در شکل زیر این فایل ها را مشاهده می کنید:
در شکل زیر کد مخرب این اپلت را مشاهده می نمایید.
بخشی از کد آلوده که در زیر آمده است باعث غیر فعال شدن مدیر امنیتی (Security manager) سیستم می شود.
به محض غیر فعال شدن مدیر امنیتی (Security manager) سیستم، اسب تروا می تواند هر کد مخربی را در مرورگر سیستم اجرا نماید. پس از این مرحله اسب تروا اقدام به دریافت برنامه های ناخواسته و ویروس های مخرب از سایت میزبان خود نموده و آنها را بر روی سیستم اجرا می نماید.
پس از نصب اسب تروای Exploit-CVE2012-4681 سیستم عامل به طور کامل بررسی می شود تا وجود یا عدم وجود نقطه ضعف در آن مشخص شود. در صورت وجود نقطه ضعف فایل های پیوست اسب تروا از نشانی زیر دریافت می شود.
همچنین این اسب تروا از متد پیچیده ای (Base 64) برای رمز نگاری خود استفاده می نماید.
پيشگيری
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا و باز کردن پیوست نامه های مشکوک، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6849 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.
