چيست؟
ويروسی با درجه خطر کم که در قالب یک فایل HTML مخرب، از حفره امنيتی موجود در مرورگر IE برای نفوذ به سیستم قربانی استفاده می کند و به نفوذگر امکان دسترسی و کنترل سیستم آلوده را از راه دور می دهد. اوليــن نمـونـه اين ويروس در دی ماه سال جاری (1391) مشـاهــده شد. وجود کلمه Exploit در نام این ویروس نشان دهنده کدی است که از یک نقطه ضعف سیستم سوءاستفاده می کند یا به بیانی آنرا در خدمت اهداف مخرب خود قرار می دهد. گرچه طبق نقشه ی جهانی آلودگی به این ویروس، بیشترین آلودگی در فرانسه مشاهده شده است اما با توجه به سازوکار آلودگی به این بدافزار، امکان ایجاد خطر در همه جای دنیا وجود خواهد داشت.
انتشار
فایل های آلوده ی HTML و یا اسکریپت های مخرب جاوا مربوط به ویروس Exploit-CVE2012-4792 با بازدید کاربر از صفحات وب مخربی که میزبان این ویروس هستند، وارد سیستم می شود. همچنین این فایل از طریق شبکه ی اینترنت به صورت پیوست نامه های الکترونیکی مشکوک و هرزنامه ها توسط کاربران دریافت و منتشر می شود.
خرابکاری
ویروس Exploit-CVE2012-4969 از طریق یک فایل HTML مخرب، از حفره امنيتی (Exploit-CVE2012-4792) موجود در مرورگر IE نسخه های 6، 7 و 8 برای نفوذ به سیستم قربانی استفاده می کند و به نفوذگر امکان دسترسی و کنترل سیستم آلوده را از راه دور می دهد.
در ابتدا نفوذگر با دستکاری یک فایل HTML و قرار دادن آن در یک صفحه ی وب مخرب منبعی را برای انتشار ویروس به وجود می آورد. هر زمان که قربانی از صفحه ی وب میزبان این ویروس بازدید نماید، فایل HTML دستکاری شده با استفاده از حفره ی امنیتی مذکور به سیستم نفوذ می نماید.
هدف از این نفوذ دریافت یک فایل مخرب از اینترنت و کدگشایی و اجرای آن بر روی سیستم آلوده می باشد. یکی از راه های تشخیص این رفتار، مشاهده ی ترافیک مشکوک بر روی یک دامنه ی ناشناخته می باشد که می تواند نشان دهنده ی ارتباط ویروس با سایت های مخرب جهت دریافت فایل آلوده باشد.
هنگامی که برای اولین بار صفحه ی وب میزبان ویروس بر روی یک سیستم بارگزاری می شود، یک کد بررسی میکند که آیا سیستم برای اولین بار سایت را بارگزاری میکند یا خیر. همانطور که در شکل زیر نشان داده شده، این کار با ساخته شدن یک کوکی (Cookie) و مقایسه ی کوکی ها بر روی سیستم انجام میشود.
پيشگيری
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) در کنار آگاه کردن کاربران در خصوص خطر بازدید سایت های مشکوک و ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند. بویژه اخیرا شرکت مایکروسافت اصلاحیه MS013-008 را برای پوشش این نقطه ضعف منتشر کرده است:
https://technet.microsoft.com/en-us/security/bulletin/ms13-008
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6955 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد. فایل HTML مخرب با نام “Exploit-CVE2012-4792” و فایل فلش با نام “SWF/Exploit-Shellcode” و فایل اجرایی دریافت شده توسط ویروس با نام “BackDoor-FKE” توسط ضد ویروس مک آفی شناخته می شوند.