CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Net-Worm.Win32.Bizex

Classe Net-Worm
Plateforme Win32
Description

Détails techniques

Ce ver utilise le système de messagerie instantanée Internet ICQ pour se propager via Internet.

Le ver envoie aux utilisateurs ICQ un message avec une URL, qui est liée à un fichier contenant des procédures permettant de télécharger et d'exécuter automatiquement le composant malveillant du ver sur l'ordinateur victime.

Propagation

En se connectant au site

 http://www.jokeworld.xxx/xxx.html 

(x ici est utilisé pour remplacer certains caractères) le CHM-exploit-a est utilisé. Le résultat de ceci est qu'un fichier CHM spécialement construit est automatiquement exécuté sur l'ordinateur victime. Ce fichier contient un autre fichier nommé 'iefucker.html'; Ce fichier contient TrojanDropper, un type de cheval de Troie écrit en langage de script. Ce cheval de Troie extrait un fichier nommé WinUpdate.exe de lui-même dans une série de répertoires système.

Dans Windows 2000 et Windows XP:

 C: Documents and SettingsTous UsersStart MenuProgramsStartupWinUpdate.exe 

et dans Windows 98:

 c: windowsStart MenuProgramsStartupWinUpdate.exe 

WinUpdate.exe est un cheval de Troie du groupe TrojanDownloader, qui télécharge le composant principal du ver à partir d'un site distant et l'écrit dans le répertoire temporaire sous le nom aptgetupd.exe.

Composant principal

Aptgetupd.exe est un fichier PE.EXE d'une taille d'environ 84 Ko (86528 octets), compressé à l'aide de PECompact.

Une fois exécuté, le ver se copie sous le nom sysmon.exe dans le sous-répertoire SYSMON du répertoire système Windows et enregistre ce fichier dans la clé d'exécution automatique du registre système:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  "sysmon" =% system% sysmonsysmon.exe 

Le ver a une fonction de vol qui lui permet de voler des informations relatives à une gamme de services financiers:

 Acceso a Banca par Internet
Accueil Bred.fr> Espace Bred.fr
American Express UK - Finances personnelles
Banamex.com
banque
Banque
Banque en ligne
Barclaycard Services aux commerçants
Collegamento a Scrigno
Connexion au bureau électronique commercial
Crédit Lyonnais interacti
CyberMUT
E * TRADE Se connecter
Accès au compte e-gold
Page d'accueil Banca Intesa
LloydsTSB en ligne - Bienvenue
Administration des marchands
Page d'accueil 
Zone utilisateur sécurisée
SUNCORP METWAY
Tous les produits et services
VeriSign Partner Manager
VeriSign Personal Trust Service
Wells Fargo - Page d'accueil pour petite entreprise 

Il vole également des données transmises par HTTPS, relatives aux comptes de divers services de messagerie tels que Yahoo, etc.

Toutes les informations volées sont enregistrées dans les fichiers ~ pass.log, ~ key.log et ~ post.log et sont envoyées par FTP à un serveur distant: www.ustrading.info

Le ver extrait un certain nombre de fichiers .dll de lui-même et les installe dans le répertoire système Windows:

 java32.dll
javaext.dll
icq_socket.dll (bibliothèque utilisée pour envoyer des messages via ICQ)
ICQ2003Decrypt.dll (bibliothèque ICQ) 

Le ver accède à la liste de contacts ICQ, déconnecte le client ICQ qui a été lancé, se connecte au serveur sous le nom de l'utilisateur de la machine infectée et envoie à tous les contacts trouvés un lien vers son propre site.

Autre

En plus de l'exploit CHM, lorsque le lien est ouvert, une tentative sera faite pour télécharger et exécuter une archive Java, qui contient une gamme de TrojanDownloaders (détectés comme Trojan.Java.ClassLoader et TrojanDownloader.Java.OpenConnection ) qui tentent aussi télécharger les composants du ver sur l'ordinateur de la victime.


Lien vers l'original