"Касперский" против Bizex: приметы, действие, профилактика, рекомендации

По информации "Лаборатории Касперского", заражение компьютера происходит при посещении хакерского веб-сайта, приглашение на который доставляется по каналам ICQ:

https://www.jokeworld.xxx/xxx.html :))LOL (xxx - замененные символы)

Происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя. Данный архив содержит в себе файл "iefucker.html" представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe".

Для платформы Windows 2000 и Windows XP:

"C:Documents and SettingsAll UsersStart MenuProgramsStartupWinUpdate.exe"

Для платформы Windows 98:

"С:windowsStart MenuProgramsStartupWinUpdate.exe"

Этот файл является троянской программой, которая загружает с удаленного сайта основной компонент червя и записывает его в системный временный каталог под именем "aptgetupd.exe". После запуска червь копирует себя в подкаталог SYSMON в системном каталоге Windows под именем "sysmon.exe" и регистрирует данный файл в ключе автозапуска системного реестра.

Кроме того этот червь способен "воровать" конфиденциальную информацию различных банковских служб:

Acceso a Banca por Internet

American Express UK

Banamex.com

Banque

Barclaycard Merchant Services

Credit Lyonnais

CyberMUT

E*TRADE

e-gold

Merchant Administration

VeriSign Personal Trust Service

и ряда других.

Кроме того, Bizex перехватывает данные, передаваемые по протоколу HTTPS и аккаунты различных почтовых служб. Вся украденная информация хранится в файлах "~pass.log", "~key.log", "~post.log" и пересылается по FTP на удаленный сервер "www.ustrading.info".

Червь извлекает из себя несколько системных библиотек и устанавливает их в системный каталог Windows:

java32.dll

javaext.dll

icq_socket.dll (библиотека для отправки сообщений через ICQ)

ICQ2003Decrypt.dll (библиотека для ICQ)

Червь получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу под данными пользователя зараженной машины и рассылает по всем найденным контактам ссылку на свой сайт.

Евгений Касперский полагает, что "в данном случае мы имеем дело с откровенной попыткой заработать: оригинальная методика проникновения и атака на "непуганого зверя" в сочетании с широким арсеналом шпионских функций, несомненно, принесли автору червя большую выгоду. Даже несмотря на то, что вредоносный сайт был закрыт спустя всего 4 часа с момента начала эпидемии".

Основные рекомендации "Лаборатории Касперского": внимательно относиться к посещению сомнительных сайтов и незамедлительно установить обновления Internet Explorer