ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Net-Worm.Win32.Bizex

Clase Net-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este gusano utiliza el sistema de mensajería instantánea ICQ para propagarse a través de Internet.

El gusano envía a los usuarios de ICQ un mensaje con una URL, que está vinculada a un archivo que contiene procedimientos para descargar y ejecutar automáticamente el componente malicioso del gusano en la computadora de la víctima.

Propagación

Al conectarse al sitio

 http://www.jokeworld.xxx/xxx.html 

(x aquí se usa para reemplazar ciertos caracteres) se usa CHM-exploit-a. El resultado de esto es que un archivo CHM especialmente construido se ejecuta automáticamente en la computadora de la víctima. Este archivo contiene otro archivo llamado 'iefucker.html'; este archivo contiene TrojanDropper, un tipo de troyano escrito en el lenguaje de script. Este troyano extrae un archivo llamado WinUpdate.exe de sí mismo a un rango de directorios del sistema.

En Windows 2000 y Windows XP:

 C: Documentos y configuracionesTodos los usuarios Menú de inicioProgramasStartupWinUpdate.exe 

y en Windows 98:

 c: windowsStart MenuProgramsStartupWinUpdate.exe 

WinUpdate.exe es un programa troyano del grupo TrojanDownloader, que descarga el componente principal del gusano desde un sitio remoto y lo escribe en el directorio temporal bajo el nombre aptgetupd.exe.

Componente principal

Aptgetupd.exe es un archivo PE.EXE, de aproximadamente 84 KB (86528 bytes) de tamaño, empaquetado con PECompact.

Una vez ejecutado, el gusano se copia a sí mismo con el nombre sysmon.exe en el subdirectorio SYSMON del directorio del sistema de Windows y lo registra en la clave de ejecución automática del registro del sistema:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  "sysmon" =% system% sysmonsysmon.exe 

El gusano tiene una función de robo que le permite robar información relacionada con una gama de servicios financieros:

 Acceso a Banca por Internet
Accueil Bred.fr> Espace Bred.fr
American Express UK - Finanzas personales
Banamex.com
banco
Banque
Banque en ligne
Servicios comerciales de Barclaycard
Collegamento a Scrigno
Oficina Electrónica Comercial Iniciar sesión
Credit Lyonnais interacti
CyberMUT
E * TRADE Iniciar sesión
Acceso a la cuenta e-gold
Página de inicio Banca Intesa
LloydsTSB en línea - Bienvenido
Administración mercantil
Página de inicio 
Área de usuario segura
SUNCORP METWAY
Tous les produits et services
Gerente de socio de VeriSign
Servicio VeriSign Personal Trust
Wells Fargo - Página de inicio para pequeñas empresas 

También roba datos transmitidos por HTTPS, relacionados con cuentas de una variedad de servicios de correo como Yahoo, etc.

Toda la información robada se guarda en los archivos ~ pass.log, ~ key.log y ~ post.log y se envía por FTP a un servidor remoto: www.ustrading.info

El gusano extrae varios archivos .dll de sí mismo y los instala en el directorio del sistema de Windows:

 java32.dll
javaext.dll
icq_socket.dll (biblioteca utilizada para enviar mensajes a través de ICQ)
ICQ2003Decrypt.dll (biblioteca ICQ) 

El gusano obtiene acceso a la lista de contactos de ICQ, desconecta el cliente ICQ que se ha iniciado, se conecta al servidor con el nombre del usuario de la máquina infectada y envía a todos los contactos un enlace a su propio sitio.

Otro

Además del exploit CHM, cuando se abre el enlace, se intenta descargar y ejecutar un archivo Java, que contiene un rango de TrojanDownloaders (detectado como Trojan.Java.ClassLoader y TrojanDownloader.Java.OpenConnection ) que también intentan para descargar los componentes del gusano a la computadora de la víctima.


Enlace al original