IRCERT - از حفره هاي محصولات مايكروسافت استفاده مي كند

صفحه اول > اخبار و هشدارها

NetSky.V از حفره هاي محصولات مايكروسافت استفاده مي كند

16 آوريل – 28 فروردين

آخرين نسخه از سري كرمهاي NetSky ديگر فايل الحاقي ( Attachment ) ندارد و تنها با باز شدن و نمايش ايميل اجرا مي شود. در واقع NetSky.V به جاي الحاق نمودن كد اجرايي به ايميل ،از دو حفره امنيتي موجود در محصولات مايكروسافت استفاده مي كند تا كد را از يك كامپيوتر آلوده دريافت كند. متخصصان مي گويند با توجه به اين كه در حال حاضر بسياري از درگاههاي ( gateway ) ايميل تمامي الحاقيه هاي ايميلها را بلوكه مي كنند ،اين كرم راه ديگري را برگزيده است تا بلوكه نشود.

با وجودي كه اين نسخه از NetSky هنوز گسترش زيادي پيدا نكرده است اما توليدكنندگان و فروشندگان نرم افزارهاي ويروس كش معتقدند كه هر يك از نسخ NetSky بالقوه خطرناك هستند.

از آنجايي كه دو حفره امنيتي مذكور يكسال پيش شناخته شده بودند ،لذا هر كامپيوتري كه اصلاحيه ها را از آن زمان نصب كرده باشد در معرض خطر نيست. همچنين شركت هاي ضدويروس ،با بروزرساني محصولات خود سعي دارند تا فايل اجرايي مزبور و كد مورد استفاده براي دريافت اين فايل را شناسايي و بلوكه نمايند. البته يك فايروال كه به خوبي پيكربندي شده باشد نيز مي تواند با جلوگيري از باز شدن پورتهاي 5557 و 5556 توسط كرم،از انتقال فايل اجرايي جلوگيري كند.

البته تجربه نشان داده است كه تعداد زيادي از كامپيوترهاي در حال كار در منازل و يا شركتهاي كوچك به روز نمي شوند و از طرف ديگر فايروال مناسب و ضدويروس به روز نيز مورد استفاده قرار نمي گيرد و لذا چنين كرمهايي امكان بروز و انتشار پيدا مي كنند. به همين دليل است كه كرمهايي مانند Blaster براي سالها در بين كامپيوترها شايع هستند و ايجاد خطر مي كنند.

NetSky.V نيز همانند نسخه هاي قبلي اين كرم به شكل يك ايميل با موضوع "Mail delivery failed" ظاهر مي شود و از آدرسهاي موجود در Address Book ماشين قرباني براي انتشار خود استفاده مي كند. داخل ايميل نيز به جاي داشتن فايل الحاقي ، داراي كدي است كه از حفره موجود در نرم افزار اينترنت اكسپلورر در XML Page Object Type Validation استفاده مي كند. اين حفره باعث مي شود تا يك كامپيوتر به يك كد خطرناك اعتماد كند ، آن را نصب كرده و به آن اجازه اجرا دهد.

( حفره مزبور در بولتن امنيتي MS03-040 مايكروسافت شرح داده شده است.)

ماشين قرباني نيز با استفاده از پورت 5557 ،يك ارتباط HTTP را با يك كامپيوتر آلوده برقرار مي كند تا يك صفحه html از آنجا دريافت كند. اين صفحه از حفره موجود در

IE5 ActiveX "Object for constructing type libraries for scriptlets" استفاده مي كند تا يك ارتباط FTP بر روي پورت 5556 باز كند و فايل اجرايي كرم را از يك كامپيوتر آلوده دريافت كند.

اين كرم به گونه اي رجيستري را تغيير مي دهد كه به صورت خودكار در هر بار بالا آمدن كامپيوتر آلوده، اجرا شود. اين نسخه نيز همانند نسخ پيشين يه سايتهاي هك و شبكه هاي p2p حمله ور مي شود.

متخصصان معتقدند كه ويروسهايي كه در آينده از اين روش براي گسترش خود استفاده كنند درصورتي كه پورتهاي معمول را بكار گيرند و از حفره هاي جديدتري نيز استفاده كنند،موفق تر خواهند بود.