По информации "Лаборатории Касперского", заражение компьютера происходит при посещении хакерского веб-сайта, приглашение на который доставляется по каналам ICQ:
http://www.jokeworld.xxx/xxx.html :))LOL (xxx - замененные символы)
Происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя. Данный архив содержит в себе файл "iefucker.html" представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe".
Для платформы Windows 2000 и Windows XP:
"C:Documents and SettingsAll UsersStart MenuProgramsStartupWinUpdate.exe"
Для платформы Windows 98:
"С:windowsStart MenuProgramsStartupWinUpdate.exe"
Этот файл является троянской программой, которая загружает с удаленного сайта основной компонент червя и записывает его в системный временный каталог под именем "aptgetupd.exe". После запуска червь копирует себя в подкаталог SYSMON в системном каталоге Windows под именем "sysmon.exe" и регистрирует данный файл в ключе автозапуска системного реестра.
Кроме того этот червь способен "воровать" конфиденциальную информацию различных банковских служб:
Acceso a Banca por Internet
American Express UK
Banamex.com
Banque
Barclaycard Merchant Services
Credit Lyonnais
CyberMUT
E*TRADE
e-gold
Merchant Administration
VeriSign Personal Trust Service
и ряда других.
Кроме того, Bizex перехватывает данные, передаваемые по протоколу HTTPS и аккаунты различных почтовых служб. Вся украденная информация хранится в файлах "~pass.log", "~key.log", "~post.log" и пересылается по FTP на удаленный сервер "www.ustrading.info".
Червь извлекает из себя несколько системных библиотек и устанавливает их в системный каталог Windows:
java32.dll
javaext.dll
icq_socket.dll (библиотека для отправки сообщений через ICQ)
ICQ2003Decrypt.dll (библиотека для ICQ)
Червь получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу под данными пользователя зараженной машины и рассылает по всем найденным контактам ссылку на свой сайт.
Евгений Касперский полагает, что "в данном случае мы имеем дело с откровенной попыткой заработать: оригинальная методика проникновения и атака на "непуганого зверя" в сочетании с широким арсеналом шпионских функций, несомненно, принесли автору червя большую выгоду. Даже несмотря на то, что вредоносный сайт был закрыт спустя всего 4 часа с момента начала эпидемии".
Основные рекомендации "Лаборатории Касперского": внимательно относиться к посещению сомнительных сайтов и незамедлительно установить обновления Internet Explorer
Reuters: Канада разрешила Airbus использовать титан из РФ
Санкции Канады против "ВСПМО-Ависма" могут поставить под удар производство Airbus.
Правительство Таиланда приняло решение установить срок безвизового пребывания в стране в 60 дней
По решению правительства Таиланда безвизовый срок пребывания в государстве для российских туристов составит 60 дней.
Путин пообещал, что все виновные в теракте в стенах "Крокус Сити Холла" не смогут избежать наказания
Российский президент Владимир Путин заявил, что российские спецслужбы будут выяснять и дальше, кто был причастен к страшному преступлению в "Крокусе".
Более половины занятых граждан РФ отметили, что их компании сталкиваются с нехваткой персонала
Общий настрой россиян к началу 2024 года остается позитивным по отношению к ситуации на рынке труда и своему статусу в нем.