NetSky.V
از حفره های محصولات مایکروسافت استفاده می کند
16 آوریل – 28
فروردین
آخرین نسخه از
سری کرمهای
NetSky
دیگر فایل الحاقی (
Attachment
) ندارد و تنها با باز شدن و نمایش ایمیل اجرا می شود. در واقع
NetSky.V
به جای الحاق نمودن کد اجرایی به ایمیل ،از دو حفره امنیتی موجود
در محصولات مایکروسافت استفاده می کند تا کد را از یک کامپیوتر
آلوده دریافت کند. متخصصان می گویند با توجه به این که در حال
حاضر بسیاری از درگاههای (
gateway
) ایمیل تمامی الحاقیه های ایمیلها را بلوکه می کنند ،این کرم
راه دیگری را برگزیده است تا بلوکه نشود.
با وجودی که این
نسخه از
NetSky
هنوز گسترش زیادی پیدا نکرده است اما تولیدکنندگان و فروشندگان
نرم افزارهای ویروس کش معتقدند که هر یک از نسخ
NetSky
بالقوه خطرناک
هستند.
از آنجایی که دو
حفره امنیتی مذکور یکسال پیش شناخته شده بودند ،لذا هر کامپیوتری
که اصلاحیه ها را از آن زمان نصب کرده باشد در معرض خطر نیست.
همچنین شرکت های ضدویروس ،با بروزرسانی محصولات خود سعی دارند تا
فایل اجرایی مزبور و کد مورد استفاده برای دریافت این فایل را
شناسایی و بلوکه نمایند. البته یک فایروال که به خوبی پیکربندی
شده باشد نیز می تواند با جلوگیری از باز شدن پورتهای 5557 و
5556 توسط کرم،از انتقال فایل اجرایی جلوگیری کند.
البته تجربه
نشان داده است که تعداد زیادی از کامپیوترهای در حال کار در
منازل و یا شرکتهای کوچک به روز نمی شوند و از طرف دیگر فایروال
مناسب و ضدویروس به روز نیز مورد استفاده قرار نمی گیرد و لذا
چنین کرمهایی امکان بروز و انتشار پیدا می کنند. به همین دلیل
است که کرمهایی مانند
Blaster
برای سالها در بین کامپیوترها شایع هستند و ایجاد خطر می کنند.
NetSky.V
نیز همانند نسخه های قبلی این کرم به شکل یک ایمیل با موضوع "Mail
delivery failed"
ظاهر می شود و از آدرسهای موجود در
Address Book
ماشین قربانی برای انتشار خود استفاده
می کند.
داخل ایمیل نیز به جای داشتن فایل الحاقی ،
دارای
کدی است که از حفره موجود در نرم افزار اینترنت اکسپلورر در
XML Page Object Type Validation
استفاده می کند. این حفره باعث می شود تا یک کامپیوتر به یک کد
خطرناک اعتماد کند ،
آن را
نصب کرده و به آن اجازه اجرا دهد.
( حفره مزبور در
بولتن امنیتی
MS03-040
مایکروسافت شرح داده شده است.)
ماشین قربانی
نیز با استفاده از پورت 5557 ،یک ارتباط
HTTP
را با یک کامپیوتر آلوده برقرار می کند تا یک صفحه
html
از آنجا دریافت کند. این صفحه از حفره موجود در
IE5 ActiveX "Object for constructing type libraries for
scriptlets"
استفاده می کند تا یک ارتباط
FTP
بر روی پورت 5556 باز کند و فایل اجرایی کرم را از یک کامپیوتر
آلوده دریافت کند.
این کرم به گونه
ای رجیستری را تغییر می دهد که به صورت خودکار در هر بار بالا
آمدن کامپیوتر آلوده،
اجرا
شود. این نسخه نیز همانند نسخ پیشین یه سایتهای هک و شبکه های
p2p
حمله ور می شود.
متخصصان معتقدند
که ویروسهایی که در آینده از این روش برای گسترش خود استفاده
کنند درصورتی که پورتهای معمول را بکار گیرند و از حفره های
جدیدتری نیز استفاده کنند،موفق تر خواهند بود.
|