24 lutego 2004

Uwaga! Worm.Win32.Bizex - atakuje użytkowników ICQ

Jest to robak rozprzestrzeniający się przez internet za pośrednictwem komunikatora ICQ. Szkodnik wysyła komunikat zawierający łącze do strony Jokeworld, na której znajdują się procedury pobierające i instalujące w systemie szkodliwe oprogramowanie.

Po kliknięciu na łączu znajdującym się w wysłanym przez robaka komunikacie ICQ wykorzystywana jest luka CHM. Przy jej użyciu możliwe jest automatyczne uruchomienie pliku CHM zawierającego kolejny obiekt - iefucker.html, w którym znajduje się program napisany w skryptowym języku programowania. Umieszcza on w folderach autostartu (patrz poniżej) plik WinUpdate.exe zawierający konia trojańskiego:

 • C:\Documents and Settings\All Users\Start Menu\
  Programs\Startup\WinUpdate.exe
  - w systemach Windows NT/2000/XP,
 • C:\Windows\Start Menu\Programs\Startup\WinUpdate.exe - w systemach Windows 98.

Działanie konia trojańskiego polega na pobieraniu głównego składnika robaka ze zdalnej witryny WWW i zapisywaniu go z nazwą aptgetupd.exe w folderze tymczasowym. Program ten wysyła łącze do strony Jokeworld do wszystkich użytkowników zapisanych na liście kontaktów ICQ. Dodatkowo pobrany składnik wyposażony jest w funkcję kradnącą informacje finansowe.

Główny składnik robaka

Aptgetupd.exe ma postać pliku PE.EXE o rozmiarze 86 528 bajtów (kompresja PECompact). Po uruchomieniu kopiuje się z nazwą sysmon.exe do folderu Windows\Sysmon i tworzy w rejestrze systemowym następujący klucz::

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"sysmon" = %system%\sysmon\sysmon.exe

Moduł wyposażony jest w funkcję kradnącą informacje związane z następującymi serwisami finansowymi:

 • Acceso a Banca por Internet
 • Accueil Bred.fr > Espace Bred.fr
 • American Express UK - Personal Finance
 • Banamex.com
 • baNK
 • Banque
 • Banque en ligne
 • Barclaycard Merchant Services
 • Collegamento a Scrigno
 • Commercial Electronic Office Sign On
 • Credit Lyonnais interacti
 • CyberMUT
 • E*TRADE Log On
 • e-gold Account Access
 • Home Page Banca Intesa
 • LloydsTSB online - Welcome
 • Merchant Administration
 • Page d'accueil
 • Secure User Area
 • SUNCORP METWAY
 • Tous les produits et services
 • VeriSign Partner Manager
 • VeriSign Personal Trust Service
 • Wells Fargo - Small Business Home Page

Ponadto szkodnik przechwytuje dane przesyłane za pośrednictwem HTTPS, związane z kontami serwisów pocztowych, takich jak Yahoo itp.

Wszystkie skradzione informacje zapisywane są w plikach ~pass.log, ~key.log oraz ~post.log i wysyłane na serwer FTP.

Szkodnik instaluje w systemowym folderze Windows następujące pliki:

 • java32.dll
 • javaext.dll
 • icq_socket.dll (biblioteka wykorzystywana do wysyłania komunikatów ICQ)
 • ICQ2003Decrypt.dll

Informacje dodatkowe

Po kliknięciu na łączu znajdującym się w komunikacie wysyłanym przez robaka, poza wykorzystaniem luki CHM, podejmowana jest próba pobrania i uruchomienia archiwum Java, które zawiera szereg programów instalujących konie trojańskie, wykrywanych jako Trojan.Java.Classloader oraz TrojanDownloader.Java.OpenConnection.