Курсы валют:
  • Обменный курс USD по ЦБ РФ на 22.04.2018 : 56,184
  • Обменный курс EUR по ЦБ РФ на 22.04.2018 : 69,9322
  • Обменный курс GBP по ЦБ РФ на 22.04.2018 : 79,7026
  • Обменный курс AUD по ЦБ РФ на 22.04.2018 : 45,4697

"Касперский" против Bizex: приметы, действие, профилактика, рекомендации

Новый вирус-червь Bizex, уже поразивший более 50 тыс. компьютеров рассылает пользователям ICQ сообщения с URL указывающими на файл с процедурами автоматической загрузки и исполнения на компьютере пользователя вредоносных компонентов.

По информации "Лаборатории Касперского", заражение компьютера происходит при посещении хакерского веб-сайта, приглашение на который доставляется по каналам ICQ:

http://www.jokeworld.xxx/xxx.html :))LOL (xxx - замененные символы)

Происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя. Данный архив содержит в себе файл "iefucker.html" представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe".

Для платформы Windows 2000 и Windows XP:

"C:Documents and SettingsAll UsersStart MenuProgramsStartupWinUpdate.exe"

Для платформы Windows 98:

"С:windowsStart MenuProgramsStartupWinUpdate.exe"

Этот файл является троянской программой, которая загружает с удаленного сайта основной компонент червя и записывает его в системный временный каталог под именем "aptgetupd.exe". После запуска червь копирует себя в подкаталог SYSMON в системном каталоге Windows под именем "sysmon.exe" и регистрирует данный файл в ключе автозапуска системного реестра.

Кроме того этот червь способен "воровать" конфиденциальную информацию различных банковских служб:

Acceso a Banca por Internet

American Express UK

Banamex.com

Banque

Barclaycard Merchant Services

Credit Lyonnais

CyberMUT

E*TRADE

e-gold

Merchant Administration

VeriSign Personal Trust Service

и ряда других.

Кроме того, Bizex перехватывает данные, передаваемые по протоколу HTTPS и аккаунты различных почтовых служб. Вся украденная информация хранится в файлах "~pass.log", "~key.log", "~post.log" и пересылается по FTP на удаленный сервер "www.ustrading.info".

Червь извлекает из себя несколько системных библиотек и устанавливает их в системный каталог Windows:

java32.dll

javaext.dll

icq_socket.dll (библиотека для отправки сообщений через ICQ)

ICQ2003Decrypt.dll (библиотека для ICQ)

Червь получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу под данными пользователя зараженной машины и рассылает по всем найденным контактам ссылку на свой сайт.

Евгений Касперский полагает, что "в данном случае мы имеем дело с откровенной попыткой заработать: оригинальная методика проникновения и атака на "непуганого зверя" в сочетании с широким арсеналом шпионских функций, несомненно, принесли автору червя большую выгоду. Даже несмотря на то, что вредоносный сайт был закрыт спустя всего 4 часа с момента начала эпидемии".

Основные рекомендации "Лаборатории Касперского": внимательно относиться к посещению сомнительных сайтов и незамедлительно установить обновления Internet Explorer

Image

Самый экстремальный аэропорт мира Кай-Так

Жестокой школой для летчиков и невероятным испытанием для пассажиров всегда был этот аэропорт - один из опаснейших в мире.

Image

Тайны гибели Титаника

106 лет назад, 14 апреля, в своей первый и, как оказалось, последний рейс отправился круизный лайнер "Титаник". Этот рейс должен был стать главным торжественным событием 1912 года, но вместо этого он стал наиболее трагическим в истории