بدافزاری از نوع اسب تروا (Trojan Horse) که از طریق یک فایل مخرب دستکاری شده RTF به قربانی خود حمله نموده و با سوء استفاده از یک نقطه ضعف قدیمی (شناسه CVE-2012-0158) در نرم افزار Word به سیستم قربانی نفوذ میکند. درجه خطر این بدافزار پایین (Low) میباشد و برای اولین بار در اردیبهشت سال 1391 مشاهده شده است. نگارش های جدید این بدافزار در آبان ماه سال جاری (1392) انتشار یافته اند. در حال حاضر موارد انتشار این حمله در خاورمیانه پایین بوده و بیشترین آلودگی ها در امریکا مشاهده شده است.
انتشار
فایل آلوده به این بدافزار بصورت پیوست یک نامه الکترونیکی در قالب یک فایل متنی Word یا Excel و یا فایل RTF (مخفف Rich Text File) دستکاری شده، یافت می شود. در واقع این بدافزار با امید فریب کاربران و باز کردن فایل های پیوست شده به نامه الکترونیکی توسط این کاربران، انتشار می یابد. در صورتی که کاربر فایل پیوست را بر روی سیستمی که دارای نقطه ضعف امنیتی CVE-2012-0158 (مربوط به اجزای MSCOMCTL.OCX در نرم افزار Office) میباشد، اجرا نماید، باعث آلودگی سیستم خواهد شد.
نامگذاری
این بدافزار با نام های زیر توسط ضد ویروس های مختلف شناسایی می شود.
McAfee: Exploit-CVE2012-0158!rtf
Avira: EXP/CVE-2012-0158.E
Kaspersky: Exploit.Win32.CVE-2012-0158.ag
Drweb: Exploit.CVE2012-0158.24
Microsoft: Exploit:Win32/CVE-2012-0158
Symantec: Trojan.Mdropper
خرابکاری
در صورت اجرای فایل حاوی بدافزار بر روی سیستمی که دارای حفره ی امنیتی CVE-2012-0158 میباشد، بدافزار به سیستم قربانی نفوذ کرده و فایل های اجرایی مخربی را بر روی سیستم ایجاد می کند و می تواند اطلاعات حساس را از سیستم سرقت نموده و برای سرور کنترل و فرماندهی خود ارسال نماید.
با نفوذ بدافزار به سیستم قربانی، فایل های مخرب زیر ایجاد میشوند.
%WINDIR%\wmiserver.exe
%TEMP%\dw20.EXE
%APPDATA%\Microsoft\Templates\~$Normal.dot
%TEMP%\~$INWORD
%TEMP%\~DF21AE.tmp
%TEMP%\~DF2A97.tmp
%TEMP%\~WINWORD
%TEMP%\~WRC0000.tmp
%TEMP%\~WRD0000.doc
%TEMP%\~WRF0001.tmp
همچنین با انجام تغییرات زیر در Registry سیستم آلوده، با هر بار راه اندازی مجدد سیستم، فایل مخرب wmiserver.exe نیز مجددا اجرا می شود.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wmiupdate: “”%WINDIR%\wmiserver.exe””
پس از آلوده شدن سیستم، بدافزار تلاش میکند با نشانی های زیر از طریق پودمان HTTP ارتباط برقرار نماید.
59.188.[Removed].197
197.0.[Removed].59
mic[Removed]ft.mrbasic.com
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین نقطه ضعفی که توسط این بدافزار مورد سوء استفاده قرار می گیرد، یک نقطه ضعف قدیمی در نرم افزار Office است که بیش از یکسال قبل توسط شرکت مایکروسافت توسط اصلاحیه شماره MS12-027 اصلاح و ترمیم شده است. لذا علاوه بر نصب اصلاحیه های امنیتی سیستم های عامل، نصب اصلاحیه های امنیتی برای نرم افزارهای کاربردی رایج، نظیر Office و Acrobat reader، نیز همواره توصیه می شود.