صفحه اول > اخبار و هشدارها

 

دو ویروس در نبرد با IE

 

9 نوامبر 2004 - 19 آبان 1383

دو نسخه از ویروس MyDoom که اولی دیروز و دومی امروز منتشر و کشف شده اند، سعی می کنند تا با استفاده از حفره امنیتی IE خود را منتشر کنند.

این دو نسخه ، که تفاوتشان در ایمیلی است که به قربانیان فرستاده می شود ، از یک حفره IE‌ که به تازگی کشف شده است استفاده می کنند و زمانی که کاربر بر روی یک لینک ساده وب کلیک می کند، کامپیوتر وی را آلوده می کنند. اما بنابه گفته آلفرد هوگر- مدیر ارشد بخش پاسخگویی امنیتی Symantec - این ویروسها به سرعت در حال گسترش نیستند چون نویسنده آنها نتوانسته است به خوبی از حفره امنیتی مزبور استفاده کند. وی می گوید:“ نویسنده کار ویروسها را برای آلوده سازی سیستمها مشکل کرده است، لذا میزان گسترش کمتر از توقع است.“

Symantec تنها 40 گزارش درباره این نسخ جدیدی یعنی MyDoom.AI و MyDoom.AH دریافت کرده است و درجه خطر انها را 2 از 5 اعلام کرده است.

این ویروسها از حفره ای در IE 6.0 استفاده می کنند که به هکر اجازه می دهد تا با یک کلیک کاربر بر روی یک لینک، برنامه ای را روی سیستم وی اجرا نماید. این حفره که IFrame نام دارد IE 6.0 را بر روی ویندوزهای 2000 و XP با SP1 تحت تاثیر قرار می دهد. کاربرانی که XP SP2 را نصب کرده اند در مقابل خطرات این حفره از جمله این دو ویروس مصون هستند.

مایکروسافت دیروز اعلام کرد که از استفاده ویروس از این حفره آگاه است و در حال بررسی این مشکل امنیتی است. این شرکت به کاربران توصیه کرده است که در باز کردن فایلهای الحاقی دقت بیشتری داشته باشند. همچنین با فعال سازی فایروال و نصب اصلاحیه های امنیتی و نرم افزار ضدویروس احتمال آلوده شدن را پایین بیاورند.

آخرین MyDoom از طریق ایمیل وارد inbox سیستم می شود. بدنه ایمیلی که توسط یکی از این نسخ فرستاده می شود چنین است:“ Look at my homepage with my last webcam photos! “ و یا “FREE ADULT VIDEO! SIGN UP NOW! “. دومین نسخه پیغامهایی را مبنی بر یافتن دوست جدید ارسال می کند.

تمامی پیغامها متونی دارند که آنها را به صفحه وبی که توسط ویروس تولید و توسط یک کامپیوتر آلوده میزبانی می شود، پیوند می دهد.

هنگامی که کاربر بر روی لینک کلیک می کند، کامپیوتر با بالا آوردن IE یک صفحه خطرناک را از کامپیوتر آلوده میزبان نمایش می دهد. آن صفحه دارای حفره امنیتی IFrame‌است و ویروسها با استفاده از آن کدی را روی سیستم قربانی اجرا می کنند و آن را آلوده می کنند. هر دو نسخه MyDoom آدرسهای ایمیل را از روی سیستم قربانی برمی دارند و بدین ترتیب ویروس را گسترش می دهند.

بنابه گفته هوگر این دو نسخه شباهت چندانی با نسخه اصلی MyDoom ندارند و به نظر می رسد که نویسنده آنها با نویسنده نسخه اصلی متفاوت است.