DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Net-Worm.Win32.Bizex

Kategorie Net-Worm
Plattform Win32
Beschreibung

Technische Details

Dieser Wurm nutzt das Internet-Instant-Messaging-System ICQ, um sich über das Internet zu verbreiten.

Der Wurm sendet ICQ-Benutzern eine Nachricht mit einer URL, die mit einer Datei verknüpft ist, die Verfahren zum automatischen Herunterladen und Ausführen der bösartigen Komponente des Wurms auf dem Opfercomputer enthält.

Vermehrung

Bei der Verbindung mit der Website

 http://www.jokeworld.xxx/xxx.html 

(x wird verwendet, um bestimmte Zeichen zu ersetzen) das CHM-Exploit-a wird verwendet. Dies führt dazu, dass eine speziell erstellte CHM-Datei automatisch auf dem Opfercomputer ausgeführt wird. Diese Datei enthält eine andere Datei namens'iefucker.html '; Diese Datei enthält TrojanDropper, einen in Skriptsprache geschriebenen Trojaner. Dieser Trojaner extrahiert eine Datei namens WinUpdate.exe von sich selbst in eine Reihe von Systemverzeichnissen.

In Windows 2000 und Windows XP:

 C: Dokumente und EinstellungenAlle BenutzerStart MenuProgramsStartupWinUpdate.exe 

und in Windows 98:

 c: windowsStart MenuProgramsStartupWinUpdate.exe 

WinUpdate.exe ist ein Trojaner-Programm der TrojanDownloader-Gruppe, die die Hauptkomponente des Wurms von einer Remote-Site herunterlädt und in das temporäre Verzeichnis unter dem Namen aptgetupd.exe schreibt.

Hauptbestandteil

Aptgetupd.exe ist eine PE.EXE-Datei mit einer Größe von ca. 84 KB (86528 Byte), die mit PECompact gepackt wird.

Nach der Ausführung kopiert sich der Wurm unter dem Namen sysmon.exe in das SYSMON-Unterverzeichnis im Windows-Systemverzeichnis und registriert diese Datei im System-Registrierungsschlüssel:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  "sysmon" =% system% sysmonsysmon.exe 

Der Wurm verfügt über eine Diebstahlfunktion, mit der er Informationen zu einer Reihe von Finanzdienstleistungen stehlen kann:

 Acceso eine Banca por Internet
Accueil Bred.fr> Espace Bred.fr
American Express UK - Persönliche Finanzen
Banamex.com
Bank
Banque
Banque en ligne
Barclaycard-Händlerdienste
Collegamento ein Scrigno
Kommerzielles elektronisches Büro-Zeichen an
Kredit Lyonnais interacti
CyberMUT
E * TRADE Anmelden
e-gold Kontozugriff
Startseite Banca Intesa
LloydsTSB online - Willkommen
Händlerverwaltung
Seite d'accueil 
Sicherer Benutzerbereich
SUNCORP METWAY
Tous les produits et services
VeriSign-Partnermanager
VeriSign persönlicher Vertrauensdienst
Wells Fargo - kleine Unternehmen Startseite 

Es stiehlt auch Daten, die von HTTPS übertragen werden, in Bezug auf Konten einer Vielzahl von Mail-Diensten wie Yahoo usw.

Alle gestohlenen Informationen werden in den Dateien ~ pass.log, ~ key.log und ~ post.log gespeichert und per FTP an einen entfernten Server gesendet: www.ustrading.info

Der Wurm extrahiert eine Reihe von DLL-Dateien von sich selbst und installiert sie im Windows-Systemverzeichnis:

 java32.dll
javaext.dll
icq_socket.dll (Bibliothek zum Senden von Nachrichten über ICQ)
ICQ2003Decrypt.dll (ICQ-Bibliothek) 

Der Wurm erhält Zugriff auf die ICQ-Kontaktliste, trennt den ICQ-Client, der gestartet wurde, stellt eine Verbindung zum Server unter dem Namen des Benutzers des infizierten Rechners her und sendet allen Kontakten einen Link zu seiner eigenen Site.

Andere

Zusätzlich zum CHM-Exploit wird beim Öffnen der Verbindung ein Versuch unternommen, ein Java-Archiv herunterzuladen und auszuführen, das eine Reihe von TrojanDownloadern (erkannt als Trojan.Java.ClassLoader und TrojanDownloader.Java.OpenConnection ) enthält, die ebenfalls versuchen um die Komponenten des Wurms auf den Opfercomputer herunterzuladen.


Link zum Original