ICQ-червь Bizex: подробности

Вебпланета

≡ Архив | архивная статья | 25.02.2004 01:49

Стали известны подробности о высокотехнологичном ICQ-черве Bizex, эпидемия которого началась в интернете. Как стало известно, программа открывает хакерам доступ к финансовым счетам пользователей в платежных системах, а также ворует пароли к бесплатным почтовым службам Yahoo Mail и другим.

Сообщения о случаях заражения поступают практически со всех стран мира. По предварительным оценкам количество зараженных компьютеров уже достигло 50 тыс.

«Лаборатория Касперского» сообщает, что заражение компьютера происходит при посещении хакерского веб-сайта, ссылка на который рассылается по каналам ICQ. Это сайт http://www.jokeworld.xxx/xxx.html (где xxx — замененные нами символы). Для маскировки при просмотре веб-сайта пользователю показывается содержание интернет-представительства «Joe Cartoon» — автора популярных американских мультсериалов. В это время вредоносная программа атакует компьютер сразу с двух направлений.

Во-первых, используется брешь в браузере Internet Explorer. Во-вторых, используется брешь в операционной системе Windows. Через эти дыры «Майкрософта» на компьютер пользователя загружается специальный файл, который «дотаскивает» с удаленного сервера файл-носитель Bizex (aptgetupd.exe) и запускает его на выполнение.

После этого Bizex начинает процедуру заражения компьютера. Для этого он создает папку SYSMON в системном каталоге Windows, копирует себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при каждом старте операционной системы.

По завершении этого процесса Bizex начинает процедуру дальнейшего распространения по ICQ. Червь извлекает из себя несколько системных библиотек для работы с этим интернет-пейджером и устанавливает их в системный каталог Windows. С их помощью Bizex получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, самостоятельно подключается к серверу от имени владельца зараженной машины и от его имени рассылает по всем контактам ссылку на веб-сайт.

Важно отметить, что червь атакует только оригинальные ICQ клиенты, в то время как альтернативные пейджеры Miranda, Trillian, &RQ и другие обладают иммунитетом.

Bizex содержит ряд исключительно опасных побочных эффектов, которые могут привести к утечке важных конфиденциальных данных. В частности, червь сканирует зараженный компьютер, собирает сведения об установленных платежных системах и незаметно отсылает их на удаленный анонимный сервер. В число уязвимых систем попали Wells Fargo, American Express UK, Barclaycard, Credit Lyonnais, Bred.fr, Lloyds и E-gold.

Помимо этого Bizex перехватывает информацию, передаваемую с компьютера по протоколу HTTPS (защищенный протокол передачи данных, который, в частности, используется для важных финансовых транзакций), а также копирует коды доступа к различным почтовым системам (Yahoo Mail и другие). Эти сведения пересылаются на удаленный анонимный сервер.

Более подробную информацию об уникальном черве Bizex можно получить из Вирусной энциклопедии.

комментарии(0)

разделы: Архив