معرفی بدافزار Exploit-CVE2012-0158!rtf

بدافزاری از نوع اسب تروا (Trojan Horse) که از طریق یک فایل مخرب دستکاری شده RTF به قربانی خود حمله نموده و با سوء استفاده از یک نقطه ضعف قدیمی (شناسه CVE-2012-0158) در نرم افزار Word به سیستم قربانی نفوذ می‌کند. درجه خطر این بدافزار پایین (Low) می‌باشد و برای اولین بار در اردیبهشت سال ۱۳۹۱ مشاهده شده است. نگارش های جدید این بدافزار در آبان ماه سال جاری (۱۳۹۲) انتشار یافته اند. در حال حاضر موارد انتشار این حمله در خاورمیانه پایین بوده و بیشترین آلودگی ها در امریکا مشاهده شده است.

 انتشار

فایل آلوده به این بدافزار بصورت پیوست یک نامه الکترونیکی در قالب یک فایل متنی Word یا Excel و یا فایل RTF (مخفف Rich Text File) دستکاری شده، یافت می شود. در واقع این بدافزار با امید فریب کاربران و باز کردن فایل های پیوست شده به نامه الکترونیکی توسط این کاربران، انتشار می یابد. در صورتی که کاربر فایل پیوست را بر روی سیستمی که دارای نقطه ضعف امنیتی CVE-2012-0158 (مربوط به اجزای MSCOMCTL.OCX در نرم افزار Office) می‌باشد، اجرا نماید، باعث آلودگی سیستم خواهد شد.

 نامگذاری

این بدافزار با نام های زیر توسط ضد ویروس های مختلف شناسایی می شود.

McAfee: Exploit-CVE2012-0158!rtf

Avira: EXP/CVE-2012-0158.E

Kaspersky: Exploit.Win32.CVE-2012-0158.ag

Drweb: Exploit.CVE2012-0158.24

Microsoft: Exploit:Win32/CVE-2012-0158

Symantec: Trojan.Mdropper

 خرابکاری

در صورت اجرای فایل حاوی بدافزار بر روی سیستمی که دارای حفره ی امنیتی CVE-2012-0158 می‌باشد، بدافزار به سیستم قربانی نفوذ کرده و فایل های اجرایی مخربی را بر روی سیستم ایجاد می کند و می تواند اطلاعات حساس را از سیستم سرقت نموده و برای سرور کنترل و فرماندهی خود ارسال نماید.

با نفوذ بدافزار به سیستم قربانی، فایل های مخرب زیر ایجاد می‌شوند.

%WINDIR%\wmiserver.exe

%TEMP%\dw20.EXE

%APPDATA%\Microsoft\Templates\~$Normal.dot

%TEMP%\~$INWORD

%TEMP%\~DF21AE.tmp

%TEMP%\~DF2A97.tmp

%TEMP%\~WINWORD

%TEMP%\~WRC0000.tmp

%TEMP%\~WRD0000.doc

%TEMP%\~WRF0001.tmp

همچنین با انجام تغییرات زیر در Registry سیستم آلوده، با هر بار راه اندازی مجدد سیستم، فایل مخرب wmiserver.exe نیز مجددا اجرا می شود.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wmiupdate: “”%WINDIR%\wmiserver.exe”"

 پس از آلوده شدن سیستم، بدافزار تلاش می‌کند با نشانی های زیر از طریق پودمان HTTP ارتباط برقرار نماید.

۵۹٫۱۸۸٫[Removed].197

197.0.[Removed].59

mic[Removed]ft.mrbasic.com

 پیشگیری

به روز نگه داشتن ضدویروس، نصب آخرین اصلاحیه های سیستم عامل و پرهیز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به این ویروس و یا گونه های مشابه را به حداقل برساند.

همچنین نقطه ضعفی که توسط این بدافزار مورد سوء استفاده قرار می گیرد، یک نقطه ضعف قدیمی در نرم افزار Office است که بیش از یکسال قبل توسط شرکت مایکروسافت توسط اصلاحیه شماره MS12-027 اصلاح و ترمیم شده است. لذا علاوه بر نصب اصلاحیه های امنیتی سیستم های عامل، نصب اصلاحیه های امنیتی برای نرم افزارهای کاربردی رایج، نظیر Office و Acrobat reader، نیز همواره توصیه می شود.