ГлавнаяНаукаВсе новости раздела
 

ICQ-червь ворует важную информацию

Корреспондент.net, 25 февраля 2004, 12:22
0
22

Первый ICQ-червь Bizex, поразивший уже около 50 тысяч компьютеров по всему миру, ворует у своих жертв и передает на анонимный сервер важную конфиденциальную информацию.

Об этом сообщили специалисты "Лаборатории Касперского". На данный момент сообщения о случаях заражения Bizex поступают практически из всех стран мира.

По словам экспертов, Bizex содержит ряд исключительно опасных побочных эффектов, которые могут привести к утечке важных конфиденциальных данных. В частности, червь сканирует зараженный компьютер, собирает сведения об установленных платежных системах и незаметно отсылает их на удаленный анонимный сервер. Помимо этого, Bizex перехватывает информацию, передаваемую с компьютера по протоколу HTTPS (защищенный протокол передачи данных, который, в частности, используется для важных финансовых транзакций), а также коды доступа к различным почтовым системам. Эти сведения также пересылаются на удаленный анонимный сервер.

Эксперты "Лаборатории Касперского" провели детальный анализ вредоносной программы.

По их данным, заражение компьютера происходит при посещении хакерского веб-сайта, приглашение на который доставляется по каналам ICQ: http://www.jokeworld.xxx/xxx.html :))LOL (где xxx - замененные символы). При этом вирус использует CHM-уязвимость, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя. Данный архив содержит в себе файл "iefucker.html" представляющий собой скриптовый TrojanDropper, который записывает в различные системные каталоги файл "WinUpdate.exe".

Для платформы Windows 2000 и Windows XP:

"C:Documents and SettingsAll UsersStart MenuProgramsStartupWinUpdate.exe"

Для платформы Windows 98:

"c:windowsStart MenuProgramsStartupWinUpdate.exe"

Данный файл является троянской программой, которая загружает с удаленного сайта основной компонент червя и записывает его в системный временный каталог под именем "aptgetupd.exe". После запуска червь копирует себя в подкаталог SYSMON в системном каталоге Windows под именем "sysmon.exe" и регистрирует данный файл в ключе автозапуска системного реестра.

Червь обладает функцией кражи конфиденциальной информации различных банковских служб:

  • Acceso a Banca por Internet
  • American Express UK
  • Banamex.com
  • Banque
  • Barclaycard Merchant Services
  • Credit Lyonnais
  • CyberMUT
  • E*TRADE
  • e-gold
  • Merchant Administration
  • VeriSign Personal Trust Service и ряда других.

Помимо этого Bizex перехватывает данные, передаваемые по протоколу HTTPS и аккаунты различных почтовых служб.

Вся украденная информация хранится в файлах "~pass.log", "~key.log", "~post.log" и пересылается по FTP на удаленный сервер "www.ustrading.info".

Червь извлекает из себя несколько системных библиотек и устанавливает их в системный каталог Windows:

  • java32.dll
  • javaext.dll
  • icq_socket.dll (библиотека для отправки сообщений через ICQ)
  • ICQ2003Decrypt.dll (библиотека для ICQ)

Вирус Bizex вызвал первую глобальную эпидемию среди пользователей интернет-пейджера ICQ, первые сообщения о нем появились накануне.

"Лаборатория Касперского" рекомендует пользователям в случае получения ссылки на веб-сайт "jokeworld" немедленно удалить данное сообщение и ни в коем случае не посещать указанный сайт.

По материалам: "Лаборатория Касперского"

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции.
powered by lun.ua

ЧИТАЙТЕ ТАКЖЕ

Корреспондент.net в cоцсетях