IRCERT - اخبار و هشدارها - IE دو ويروس در نبرد با

صفحه اول > اخبار و هشدارها

دو ويروس در نبرد با IE

9 نوامبر 2004 - 19 آبان 1383

دو نسخه از ويروس MyDoom كه اولي ديروز و دومي امروز منتشر و كشف شده اند، سعي مي كنند تا با استفاده از حفره امنيتي IE خود را منتشر كنند.

اين دو نسخه ، كه تفاوتشان در ايميلي است كه به قربانيان فرستاده مي شود ، از يك حفره IE‌ كه به تازگي كشف شده است استفاده مي كنند و زماني كه كاربر بر روي يك لينك ساده وب كليك مي كند، كامپيوتر وي را آلوده مي كنند. اما بنابه گفته آلفرد هوگر- مدير ارشد بخش پاسخگويي امنيتي Symantec - اين ويروسها به سرعت در حال گسترش نيستند چون نويسنده آنها نتوانسته است به خوبي از حفره امنيتي مزبور استفاده كند. وي مي گويد:“ نويسنده كار ويروسها را براي آلوده سازي سيستمها مشكل كرده است، لذا ميزان گسترش كمتر از توقع است.“

Symantec تنها 40 گزارش درباره اين نسخ جديدي يعني MyDoom.AI و MyDoom.AH دريافت كرده است و درجه خطر انها را 2 از 5 اعلام كرده است.

اين ويروسها از حفره اي در IE 6.0 استفاده مي كنند كه به هكر اجازه مي دهد تا با يك كليك كاربر بر روي يك لينك، برنامه اي را روي سيستم وي اجرا نمايد. اين حفره كه IFrame نام دارد IE 6.0 را بر روي ويندوزهاي 2000 و XP با SP1 تحت تاثير قرار مي دهد. كاربراني كه XP SP2 را نصب كرده اند در مقابل خطرات اين حفره از جمله اين دو ويروس مصون هستند.

مايكروسافت ديروز اعلام كرد كه از استفاده ويروس از اين حفره آگاه است و در حال بررسي اين مشكل امنيتي است. اين شركت به كاربران توصيه كرده است كه در باز كردن فايلهاي الحاقي دقت بيشتري داشته باشند. همچنين با فعال سازي فايروال و نصب اصلاحيه هاي امنيتي و نرم افزار ضدويروس احتمال آلوده شدن را پايين بياورند.

آخرين MyDoom از طريق ايميل وارد inbox سيستم مي شود. بدنه ايميلي كه توسط يكي از اين نسخ فرستاده مي شود چنين است:“ Look at my homepage with my last webcam photos! “ و يا “FREE ADULT VIDEO! SIGN UP NOW! “. دومين نسخه پيغامهايي را مبني بر يافتن دوست جديد ارسال مي كند.

تمامي پيغامها متوني دارند كه آنها را به صفحه وبي كه توسط ويروس توليد و توسط يك كامپيوتر آلوده ميزباني مي شود، پيوند مي دهد.

هنگامي كه كاربر بر روي لينك كليك مي كند، كامپيوتر با بالا آوردن IE يك صفحه خطرناك را از كامپيوتر آلوده ميزبان نمايش مي دهد. آن صفحه داراي حفره امنيتي IFrame‌است و ويروسها با استفاده از آن كدي را روي سيستم قرباني اجرا مي كنند و آن را آلوده مي كنند. هر دو نسخه MyDoom آدرسهاي ايميل را از روي سيستم قرباني برمي دارند و بدين ترتيب ويروس را گسترش مي دهند.

بنابه گفته هوگر اين دو نسخه شباهت چنداني با نسخه اصلي MyDoom ندارند و به نظر مي رسد كه نويسنده آنها با نويسنده نسخه اصلي متفاوت است.