Мы уже сообщали о новом вирус-черве "Bizex", распространяющийся через интернет при помощи интернет-пейджера ICQ. Напомним, что червь рассылает пользователям ICQ сообщения с URL указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонентов.
Эксперты Лаборатории Касперского провели анализ вредоносной программы. Заражение компьютера происходит при посещении хакерского веб-сайта, приглашение на который доставляется по каналам ICQ:
http://www.jokeworld.xxx/xxx.html :))LOL (где xxx - замененные символы)
происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя. Данный архив содержит в себе файл "iefucker.html" представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe".
Для платформы Windows 2000 и Windows XP:
"C:Documents and SettingsAll UsersStart MenuProgramsStartupWinUpdate.exe"
Для платформы Windows 98:
"c:windowsStart MenuProgramsStartupWinUpdate.exe"
Данный файл является троянской программой, которая загружает с удаленного сайта основной компонент червя и записывает его в системный временный каталог под именем "aptgetupd.exe". После запуска червь копирует себя в подкаталог SYSMON в системном каталоге Windows под именем "sysmon.exe" и регистрирует данный файл в ключе автозапуска системного реестра.
Червь обладает функцией кражи конфиденциальной информации различных банковских служб:
Acceso a Banca por Internet
American Express UK
Banamex.com
Banque
Barclaycard Merchant Services
Credit Lyonnais
CyberMUT
E*TRADE
e-gold
Merchant Administration
VeriSign Personal Trust Service
и ряда других.
Помимо этого "Bizex" перехватывает данные, передаваемые по протоколу HTTPS и аккаунты различных почтовых служб. Вся украденная информация хранится в файлах "~pass.log", "~key.log", "~post.log" и пересылается по FTP на удаленный сервер "www.ustrading.info".
Червь извлекает из себя несколько системных библиотек и устанавливает их в системный каталог Windows:
java32.dll
javaext.dll
icq_socket.dll (библиотека для отправки сообщений через ICQ)
ICQ2003Decrypt.dll (библиотека для ICQ)
Червь получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу под данными пользователя зараженной машины и рассылает по всем найденным контактам ссылку на свой сайт.
"В данном случае мы имеем дело с откровенной попыткой заработать: оригинальная методика проникновения и атака на "непуганого зверя" в сочетании с широким арсеналом шпионских функций, несомненно, принесли автору червя большую выгоду. Даже несмотря на то, что вредоносный сайт был закрыт спустя всего 4 часа с момента начала эпидемии, - сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - Одновременно, мы призываем пользователей внимательно относиться к посещению сомнительных сайтов и незамедлительно установить обновления для Internet Explorer и Windows ".
