ویروس Exploit-CVE2012-4969
چيست؟
ويروسی با درجه خطر کم که در قالب یک فایل HTML مخرب، از حفره امنيتی موجود در مرورگر IE برای نفوذ به سیستم قربانی استفاده می کند و به نفوذگر امکان دسترسی و کنترل سیستم آلوده را از راه دور می دهد. اوليــن نمـونـه اين ويروس در مهر ماه سال جاری (1391) مشـاهــده شد. وجود کلمه Exploit در نام این ویروس نشان دهنده کدی است که از یک نقطه ضعف سیستم سوءاستفاده می کند یا به بیانی آن را در خدمت اهداف مخرب خود قرار می دهد.
انتشار
فایل های آلوده ی HTML مربوط به ویروس Exploit-CVE2012-4969 با بازدید کاربر از صفحات وب مخربی که میزبان این ویروس هستند، وارد سیستم می شود. همچنین این فایل از طریق شبکه ی اینترنت به صورت پیوست نامه های الکترونیکی مشکوک و هرزنامه ها توسط کاربران دریافت و منتشر می شود.
خرابکاری
ویروس Exploit-CVE2012-4969 از طریق یک فایل HTML مخرب، از حفره امنيتی موجود در مرورگر (IE (CVE2012-4969 برای نفوذ به سیستم قربانی استفاده می کند و به نفوذگر امکان دسترسی و کنترل سیستم آلوده را از راه دور می دهد.
در شکل زیر مراحل مختلف آلوده شدن سیستم نشان داده شده است:
همانطور که در شکل دیده می شود، نفوذگر با دستکاری یک فایل HTML و قرار دادن آن در یک صفحه ی وب آلوده، منبعی را برای انتشار ویروس به وجود می آورد. هر زمان که قربانی از صفحه ی وب میزبان این ویروس بازدید نماید، فایل HTML دستکاری شده موجب اجرای کد آلوده ای می شود که از نقطه ضعف IE سوءاستفاده می کند.
با اجرای کد آلوده بر روی سیستم قربانی و با نفود به مرورگر IE، این برنامه خراب شده و از کار می افتد:
همچنین در مواردی مشاهده شده است که بدافزار Exploit-CVE2012-4969 با استفاده از یک فایل دستکاری شده با پسوند swf دستگاه ها را آلوده می سازد. در این حالت فایل swf به وسیله یکی از نرم افزارهای تجاری که ویژه فشرده کردن فایلهای اجرایی است (Packer)، به گونه ای در می آید تا ضدویروس ها به راحتی نتوانند محتویات آن را بخواند.
از نکات جالب توجه در خرابکاریهای این بدافزار آن است که می تواند یکی از بخشهای امنیتی سیستم عامل Windows را که مسئول جلوگیری از ایجاد خطاهای سرریز حافظه (Buffer Overflow) است، خنثی کند. این بخش از سیستم عامل Windows که DEP یا Data Execution Prevention نام دارد توسط این بدافزار غیرفعال می شود که این کار هم با استفاده از یکی از توابع موجود در نگارشهای جدید فایل کتابخانه ای (msvcr.dll (7.10.3052.4 صورت می گیرد.
پيشگيری
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل (به صورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6862 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.
