IRCERT - از حفره های محصولات مایکروسافت استفاده می کند

صفحه اول > اخبار و هشدارها

NetSky.V از حفره های محصولات مایکروسافت استفاده می کند

16 آوریل – 28 فروردین

آخرین نسخه از سری کرمهای NetSky دیگر فایل الحاقی ( Attachment ) ندارد و تنها با باز شدن و نمایش ایمیل اجرا می شود. در واقع NetSky.V به جای الحاق نمودن کد اجرایی به ایمیل ،از دو حفره امنیتی موجود در محصولات مایکروسافت استفاده می کند تا کد را از یک کامپیوتر آلوده دریافت کند. متخصصان می گویند با توجه به این که در حال حاضر بسیاری از درگاههای ( gateway ) ایمیل تمامی الحاقیه های ایمیلها را بلوکه می کنند ،این کرم راه دیگری را برگزیده است تا بلوکه نشود.

با وجودی که این نسخه از NetSky هنوز گسترش زیادی پیدا نکرده است اما تولیدکنندگان و فروشندگان نرم افزارهای ویروس کش معتقدند که هر یک از نسخ NetSky بالقوه خطرناک هستند.

از آنجایی که دو حفره امنیتی مذکور یکسال پیش شناخته شده بودند ،لذا هر کامپیوتری که اصلاحیه ها را از آن زمان نصب کرده باشد در معرض خطر نیست. همچنین شرکت های ضدویروس ،با بروزرسانی محصولات خود سعی دارند تا فایل اجرایی مزبور و کد مورد استفاده برای دریافت این فایل را شناسایی و بلوکه نمایند. البته یک فایروال که به خوبی پیکربندی شده باشد نیز می تواند با جلوگیری از باز شدن پورتهای 5557 و 5556 توسط کرم،از انتقال فایل اجرایی جلوگیری کند.

البته تجربه نشان داده است که تعداد زیادی از کامپیوترهای در حال کار در منازل و یا شرکتهای کوچک به روز نمی شوند و از طرف دیگر فایروال مناسب و ضدویروس به روز نیز مورد استفاده قرار نمی گیرد و لذا چنین کرمهایی امکان بروز و انتشار پیدا می کنند. به همین دلیل است که کرمهایی مانند Blaster برای سالها در بین کامپیوترها شایع هستند و ایجاد خطر می کنند.

NetSky.V نیز همانند نسخه های قبلی این کرم به شکل یک ایمیل با موضوع "Mail delivery failed" ظاهر می شود و از آدرسهای موجود در Address Book ماشین قربانی برای انتشار خود استفاده می کند. داخل ایمیل نیز به جای داشتن فایل الحاقی ، دارای کدی است که از حفره موجود در نرم افزار اینترنت اکسپلورر در XML Page Object Type Validation استفاده می کند. این حفره باعث می شود تا یک کامپیوتر به یک کد خطرناک اعتماد کند ، آن را نصب کرده و به آن اجازه اجرا دهد.

( حفره مزبور در بولتن امنیتی MS03-040 مایکروسافت شرح داده شده است.)

ماشین قربانی نیز با استفاده از پورت 5557 ،یک ارتباط HTTP را با یک کامپیوتر آلوده برقرار می کند تا یک صفحه html از آنجا دریافت کند. این صفحه از حفره موجود در

IE5 ActiveX "Object for constructing type libraries for scriptlets" استفاده می کند تا یک ارتباط FTP بر روی پورت 5556 باز کند و فایل اجرایی کرم را از یک کامپیوتر آلوده دریافت کند.

این کرم به گونه ای رجیستری را تغییر می دهد که به صورت خودکار در هر بار بالا آمدن کامپیوتر آلوده، اجرا شود. این نسخه نیز همانند نسخ پیشین یه سایتهای هک و شبکه های p2p حمله ور می شود.

متخصصان معتقدند که ویروسهایی که در آینده از این روش برای گسترش خود استفاده کنند درصورتی که پورتهای معمول را بکار گیرند و از حفره های جدیدتری نیز استفاده کنند،موفق تر خواهند بود.