NetSky.V
از حفره هاي محصولات مايكروسافت استفاده مي كند
16 آوريل – 28
فروردين
آخرين نسخه از
سري كرمهاي
NetSky
ديگر فايل الحاقي (
Attachment
) ندارد و تنها با باز شدن و نمايش ايميل اجرا مي شود. در واقع
NetSky.V
به جاي الحاق نمودن كد اجرايي به ايميل ،از دو حفره امنيتي موجود
در محصولات مايكروسافت استفاده مي كند تا كد را از يك كامپيوتر
آلوده دريافت كند. متخصصان مي گويند با توجه به اين كه در حال
حاضر بسياري از درگاههاي (
gateway
) ايميل تمامي الحاقيه هاي ايميلها را بلوكه مي كنند ،اين كرم
راه ديگري را برگزيده است تا بلوكه نشود.
با وجودي كه اين
نسخه از
NetSky
هنوز گسترش زيادي پيدا نكرده است اما توليدكنندگان و فروشندگان
نرم افزارهاي ويروس كش معتقدند كه هر يك از نسخ
NetSky
بالقوه خطرناك
هستند.
از آنجايي كه دو
حفره امنيتي مذكور يكسال پيش شناخته شده بودند ،لذا هر كامپيوتري
كه اصلاحيه ها را از آن زمان نصب كرده باشد در معرض خطر نيست.
همچنين شركت هاي ضدويروس ،با بروزرساني محصولات خود سعي دارند تا
فايل اجرايي مزبور و كد مورد استفاده براي دريافت اين فايل را
شناسايي و بلوكه نمايند. البته يك فايروال كه به خوبي پيكربندي
شده باشد نيز مي تواند با جلوگيري از باز شدن پورتهاي 5557 و
5556 توسط كرم،از انتقال فايل اجرايي جلوگيري كند.
البته تجربه
نشان داده است كه تعداد زيادي از كامپيوترهاي در حال كار در
منازل و يا شركتهاي كوچك به روز نمي شوند و از طرف ديگر فايروال
مناسب و ضدويروس به روز نيز مورد استفاده قرار نمي گيرد و لذا
چنين كرمهايي امكان بروز و انتشار پيدا مي كنند. به همين دليل
است كه كرمهايي مانند
Blaster
براي سالها در بين كامپيوترها شايع هستند و ايجاد خطر مي كنند.
NetSky.V
نيز همانند نسخه هاي قبلي اين كرم به شكل يك ايميل با موضوع "Mail
delivery failed"
ظاهر مي شود و از آدرسهاي موجود در
Address Book
ماشين قرباني براي انتشار خود استفاده
مي كند.
داخل ايميل نيز به جاي داشتن فايل الحاقي ،
داراي
كدي است كه از حفره موجود در نرم افزار اينترنت اكسپلورر در
XML Page Object Type Validation
استفاده مي كند. اين حفره باعث مي شود تا يك كامپيوتر به يك كد
خطرناك اعتماد كند ،
آن را
نصب كرده و به آن اجازه اجرا دهد.
( حفره مزبور در
بولتن امنيتي
MS03-040
مايكروسافت شرح داده شده است.)
ماشين قرباني
نيز با استفاده از پورت 5557 ،يك ارتباط
HTTP
را با يك كامپيوتر آلوده برقرار مي كند تا يك صفحه
html
از آنجا دريافت كند. اين صفحه از حفره موجود در
IE5 ActiveX "Object for constructing type libraries for
scriptlets"
استفاده مي كند تا يك ارتباط
FTP
بر روي پورت 5556 باز كند و فايل اجرايي كرم را از يك كامپيوتر
آلوده دريافت كند.
اين كرم به گونه
اي رجيستري را تغيير مي دهد كه به صورت خودكار در هر بار بالا
آمدن كامپيوتر آلوده،
اجرا
شود. اين نسخه نيز همانند نسخ پيشين يه سايتهاي هك و شبكه هاي
p2p
حمله ور مي شود.
متخصصان معتقدند
كه ويروسهايي كه در آينده از اين روش براي گسترش خود استفاده
كنند درصورتي كه پورتهاي معمول را بكار گيرند و از حفره هاي
جديدتري نيز استفاده كنند،موفق تر خواهند بود.
|