24 февраля 2004
Новый червь атакует через ICQ
Специалисты по информационной безопасности предупреждают: через популярный интернет-пейджер ICQ (как его в шутку называют офисные служащие, "цветок на могиле рабочего времени") распространяется новый сетевой червь под названием Bizex, который использует уязвимости самой ICQ, а также браузера Internet Explorer. На данный момент сообщения о случаях заражения червем поступают практически из всех стран мира. По предварительным оценкам, количество зараженных компьютеров составляет около 50 тысяч.
Пользователю ICQ приходит сообщение с приглашением посетить страницу на сайте jokeworld и дополнением ":)) LOL". Для маскировки при просмотре веб-сайта пользователю показывается содержание интернет-представительства Joe Cartoon - автора популярных американских мультсериалов. В это время вредоносная программа атакует компьютер сразу с двух направлений: во-первых, используя брешь в браузере Internet Explorer, во-вторых - уязвимость в операционной системе Windows. В результате на компьютер незаметно для пользователя загружается специальный файл, который "дотаскивает" с удаленного веб-узла непосредственно файл-носитель Bizex (APTGETUPD.EXE) и запускает его на выполнение.
После этого Bizex начинает процедуру заражения компьютера. Для этого он создает папку SYSMON в системном каталоге Windows, копирует себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при каждом старте операционной системы.
По завершении этого процесса Bizex начинает процедуру дальнейшего распространения по ICQ. Червь извлекает из себя несколько системных библиотек для работы с этим интернет-пейджером и устанавливает их в системный каталог Windows. С их помощью Bizex получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу от имени владельца зараженной машины и от его имени рассылает по всем найденным контактам ссылку на указанный выше веб-сайт.
Важно отметить, что червь атакует только оригинальные ICQ-клиенты (за исключением Web ICQ), в то время как альтернативные пейджеры (Miranda, Trillian) обладают иммунитетом.
Bizex содержит ряд исключительно опасных побочных эффектов, которые могут привести к утечке важных конфиденциальных данных. В частности, червь сканирует зараженный компьютер, собирает сведения об установленных платежных системах и незаметно отсылает их на удаленный анонимный сервер. В число уязвимых систем попали: Wells Fargo, Британское отделение American Express, Barclaycard, Credit Lyonnais, Bred.fr, Lloyds и E-gold.
Помимо этого, Bizex перехватывает информацию, передаваемую с компьютера по протоколу HTTPS (защищенный протокол передачи данных, который, в частности, используется для важных финансовых транзакций), а также коды доступа к различным почтовым системам (например, Yahoo Mail). Эти сведения также пересылаются на удаленный анонимный сервер.
В данном случае мы имеем дело с откровенной попыткой заработать: оригинальная методика проникновения и атака на "непуганого зверя" в сочетании с широким арсеналом шпионских функций, несомненно, принесли автору червя большую выгоду. Даже несмотря на то, что вредоносный сайт был закрыт спустя всего 4 часа с момента начала эпидемии. Одновременно, мы призываем пользователей внимательно относиться к посещению сомнительных сайтов и незамедлительно установить обновления для Internet Explorer и Windows.
CNews
ENG
версия
для печати
послать
другу
вверх
