Uwaga! Worm.Win32.Bizex - atakuje użytkowników ICQ | Kaspersky Lab"/> <font color="red"><b>Uwaga!</b></font> Worm.Win32.Bizex - atakuje użytkowników ICQ | Kaspersky Lab

Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Uwaga! Worm.Win32.Bizex - atakuje użytkowników ICQ

Jest to robak rozprzestrzeniający się przez internet za pośrednictwem komunikatora ICQ. Szkodnik wysyła komunikat zawierający łącze do strony Jokeworld, na której znajdują się procedury pobierające i instalujące w systemie szkodliwe oprogramowanie.

Po kliknięciu na łączu znajdującym się w wysłanym przez robaka komunikacie ICQ wykorzystywana jest luka CHM. Przy jej użyciu możliwe jest automatyczne uruchomienie pliku CHM zawierającego kolejny obiekt - iefucker.html, w którym znajduje się program napisany w skryptowym języku programowania. Umieszcza on w folderach autostartu (patrz poniżej) plik WinUpdate.exe zawierający konia trojańskiego:

  • C:\Documents and Settings\All Users\Start Menu\
    Programs\Startup\WinUpdate.exe
    - w systemach Windows NT/2000/XP,
  • C:\Windows\Start Menu\Programs\Startup\WinUpdate.exe - w systemach Windows 98.

Działanie konia trojańskiego polega na pobieraniu głównego składnika robaka ze zdalnej witryny WWW i zapisywaniu go z nazwą aptgetupd.exe w folderze tymczasowym. Program ten wysyła łącze do strony Jokeworld do wszystkich użytkowników zapisanych na liście kontaktów ICQ. Dodatkowo pobrany składnik wyposażony jest w funkcję kradnącą informacje finansowe.

Główny składnik robaka

Aptgetupd.exe ma postać pliku PE.EXE o rozmiarze 86 528 bajtów (kompresja PECompact). Po uruchomieniu kopiuje się z nazwą sysmon.exe do folderu Windows\Sysmon i tworzy w rejestrze systemowym następujący klucz::

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"sysmon" = %system%\sysmon\sysmon.exe

Moduł wyposażony jest w funkcję kradnącą informacje związane z następującymi serwisami finansowymi:

  • Acceso a Banca por Internet
  • Accueil Bred.fr > Espace Bred.fr
  • American Express UK - Personal Finance
  • Banamex.com
  • baNK
  • Banque
  • Banque en ligne
  • Barclaycard Merchant Services
  • Collegamento a Scrigno
  • Commercial Electronic Office Sign On
  • Credit Lyonnais interacti
  • CyberMUT
  • E*TRADE Log On
  • e-gold Account Access
  • Home Page Banca Intesa
  • LloydsTSB online - Welcome
  • Merchant Administration
  • Page d'accueil
  • Secure User Area
  • SUNCORP METWAY
  • Tous les produits et services
  • VeriSign Partner Manager
  • VeriSign Personal Trust Service
  • Wells Fargo - Small Business Home Page

Ponadto szkodnik przechwytuje dane przesyłane za pośrednictwem HTTPS, związane z kontami serwisów pocztowych, takich jak Yahoo itp.

Wszystkie skradzione informacje zapisywane są w plikach ~pass.log, ~key.log oraz ~post.log i wysyłane na serwer FTP.

Szkodnik instaluje w systemowym folderze Windows następujące pliki:

  • java32.dll
  • javaext.dll
  • icq_socket.dll (biblioteka wykorzystywana do wysyłania komunikatów ICQ)
  • ICQ2003Decrypt.dll

Informacje dodatkowe

Po kliknięciu na łączu znajdującym się w komunikacie wysyłanym przez robaka, poza wykorzystaniem luki CHM, podejmowana jest próba pobrania i uruchomienia archiwum Java, które zawiera szereg programów instalujących konie trojańskie, wykrywanych jako Trojan.Java.Classloader oraz TrojanDownloader.Java.OpenConnection.



 2004-02-24  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych