ویروس Exploit-CVE2012-0158
چيست؟
ويروسی با درجه خطر کم که با استفاده ازنقطه ضعفی در فایل MSCOMCTL.OCX (از فایل های موسوم به ActiveX سیستم عامل ویندوز) در برنامه ی Office و دیگر برنامه های کاربردی مایکروسافت، سیستم را آلوده می نماید. اوليــن نمـونـه اين ويروس در اردیبهشت ماه سال جاری (1391) مشـاهــده شده است. اصلاحیه ی امنیتی مایکروسافت برای این نقطه ضعف MS12-027 می باشد که در صورت عدم نصب آن بازکردن فایل های دستکاری شده ی برنامه های word و Excel می تواند زمینه آلوده سازی دستگاه را فراهم کند.
انتشار
فایل های دستکاری شده ی ویروس Exploit-CVE2012-0158 معمولا توسط پیوست نامه های الکترونیکی به کاربر ارسال می گردد. در صورتی که این فایل های مخرب word یا Excel بر روی سیستم ای که نسخه ی آسیب پذیر Office بر رویشان نصب است اجرا شوند، بلافاصله با نصب یک اسب تروا از نوع در پشتی (Backdoor) سیستم را آلوده می نمایند.
خرابکاری
فایل های آلوده به این ویروس معمولا پسوندشان doc می باشد که از فایل های متنی برنامه ی word هستند و شامل یک فایل دستکاری شده از نوع OLE می باشند که از نقطه ضعف برنامه ی office سوءاستفاده می کند.
با اجرای فایل های متنی آلوده بر روی سیستم قربانی، نرم افزار Office سبب قراردادن کدهای مخربی در حافظه می شود. با اجرای این کدهای آلوده، فایل های مخرب اسب تروا کدگشایی شده و بر روی سیستم نصب شده و اجرا می شوند. بعضی از نسخه های ویروس فایل های مخرب را در مسیر زیر قرار می دهند:
%userProfile%\Local Settings\Temp\(filename).exe
همچنین کد آلوده برای گول زدن کاربر نسخه ای از فایل متنی غیرآلوده را باز می کند. در بعضی از نسخه ها این فایل های متنی در مسیر زیر قرار دارند:
%userProfile%\Local Settings\Temp\(filename) .doc (for Word and RTF files)
%userProfile%\Local Settings\Temp\(filename) .xls (for Excel files)
همچنین از دیگر آسیب های این ویروس اجرای اسب های تروای زیر می باشد:
Generic BackDoor.u
BackDoor-FEW
BackDoor-FEX
خرابکاری
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) به خصوص اصلاحیه های برنامه ی Office در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا و باز کردن پیوست نامه های مشکوک، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
گرچه ضدویروس مک آفی با فایل های اطلاعاتی شماره 6708 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد اما توصیه می شود در اولین فرصت اقدام به نصب اصلاحیه مربوطه (MS12-027) شود.
