ويروس Exploit-CVE2011-2140
چيست؟
ويروسی با درجه خطر کم که از حفره امنيتی موجود در نرم افزار flash player Adobe برای نفوذ به سیستم قربانی سوءاستفاده می کند و به نفوذگر امکان دسترسی و کنترل سیستم آلوده را می دهد. اوليــن نمـونـه اين ويروس در شهریور ماه سال جاری (1390) مشـاهــده شد و نمونه های جدیدی از آن در اسفند ماه نیز کشف شده است. نام این ویروس براساس شماره ای که به نقطه ضعف مربوطه داده شده، انتخاب شده است. طبق نقشه جهانی آلودگی به این ویروس در خاورمیانه پایین بوده و بیشترین آلودگی ها در ایالات متحده امریکا و فرانسه مشاهده شده است.
انتشار
ویروس Exploit-CVE2011-2140 به نفوذگر این امکان را می دهد تا از طریق حفـره امنيتی موجود در نرم افزار Flash player از راه دور اقدام به اجرای برنامه های مخرب کند. این ویروس بعد از اجرای یک فایل swf دستکاری شده، در حافظه قرار می گیرد و پس از آن نفوذگر می تواند کنترل دستگاه را در دست گیرد. کارهایی که نفوذگر پس از این مرحله انجام می دهد می تواند از دستکاری کردن بخش هایی از حافظه کاری دستگاه تا اجرای کدهای آلوده دیگر باشد.
خرابکاری
همانطور که در شکل زیر مشاهده می کنید آلودگی به این ویروس به این صورت آغاز می شود که کاربر با بازدید از لینک یک وب سایت مخرب که میزبان یک اسکریپت جاوا آلوده است، به لینکی هدایت می شود تا در آن یک فایل آلوده swf را اجرا کند. این فایل از نقطه ضعفی در برنامه Flash Player نصب شده بر روی سیستم قربانی استفاده کرده و سایر برنامه های مخرب را از سرویس دهنده ویروس دریافت می کند و پس از این مرحله نفوذگر کنترل کامل بر روی سیستم آلوده خواهد داشت.
نفوذگر با استفاده از یک کد جاوا اسکریپت تشخیص می دهد که آیا بر روی سیستم مورد نظر نرم افزار Flash player نصب شده است یا خیر. بخشی از این کد در شکل زیر نمایش داده شده است.
پس از تشخیص وجود نسخه آسیب پذیر Flash Player بر روی سیستم قربانی، کاربر به لینک اجرای فایل آلوده swf هدایت می شود.
فایل آلوده swf دارای یک برچسب (DOABC (tag است که حاوی دستورات اجرای اسکریپت دیگری بوده و باعث اجرای یک فایل swf دیگر شده و یک کد آلوده مربوط به پوسته سیستم (Shellcode) را در حافظه تزریق می کند.
سپس فایل swf یک فایل تصویری با نام e.avi را اجرا می کند که سعی می کند به نقطه ضعف برنامه Flash player نفوذ کرده و کنترل سیستم را برای اجرای کدهای مخرب بدست گیرد.
همچنین در صورت اجرای فایل swf اصلی، مرورگر IE تخریب شده و پیغامی بصورت زیر مشاهده می کنید:
همینطور ویروس تلاش می کند با نشانی های زیر ارتباط برقرار کند:
• tongjiaaexe.3322.org
• meorm.com
• news.zztlgg.com
