Net-Worm.Win32.Bizex

Technical Details

Вирус-червь, распространяющийся через интернет при помощи интернет-пейджера ICQ.

Червь рассылает пользователям ICQ сообщения с URL указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонентов.

Размножение

При обращении к ссылке из присланного сообщения

http://www.jokeworld.xxx/xxx.html :))LOL (где xxx - замененные нами символы)

происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя. Данный архив содержит в себе файл «iefucker.html» представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл «WinUpdate.exe».

Для платформы Windows 2000 и Windows XP:

"C:Documents and SettingsAll UsersStart MenuProgramsStartupWinUpdate.exe"

Для платформы Windows 98:

"c:windowsStart MenuProgramsStartupWinUpdate.exe"

Данный файл является троянской программой класса TrojanDownloader, которая загружает с удаленного сайта основной компонент червя и записывает его в системный временный каталог под именем «aptgetupd.exe».

Главный компонент

Является PE-файлом размером около 84KB (86528 байт), упакован PECompact.

После запуска червь копирует себя в подкаталог SYSMON в системном каталоге Windows под именем «sysmon.exe» и регистрирует данный файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
 "sysmon" = "%system%sysmonsysmon.exe"

Червь обладает функцией кражи конфиденциальной информации различных банковских служб:

Acceso a Banca por Internet
Accueil Bred.fr > Espace Bred.fr
American Express UK - Personal Finance
Banamex.com
baNK
Banque
Banque en ligne
Barclaycard Merchant Services
Collegamento a Scrigno
Commercial Electronic Office Sign On
Credit Lyonnais interacti
CyberMUT
E*TRADE Log On
e-gold Account Access
Home Page Banca Intesa
LloydsTSB online - Welcome
Merchant Administration
Page d'accueil 
Secure User Area
SUNCORP METWAY
Tous les produits et services
VeriSign Partner Manager
VeriSign Personal Trust Service
Wells Fargo - Small Business Home Page

А также данных, передаваемых по HTTPS и аккаунтов различных почтовых служб (Yahoo,etc).

Вся украденная информация хранится в файлах «~pass.log», «~key.log», «~post.log» и пересылается по FTP на удаленный сервер «www.ustrading.info».

Червь извлекает из себя несколько системных библиотек и устанавливает их в системный каталог Windows:

java32.dll
javaext.dll
icq_socket.dll (библиотека для отправки сообщений через ICQ)
ICQ2003Decrypt.dll (библиотека для ICQ)

Червь получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу под данными пользователя зараженной машины и рассылает по всем найденным контактам ссылку на свой сайт.

Прочее

При открытии ссылки, помимо использования CHM-эксплойта, происходит попытка загрузки и исполнения Java-архива, содержащего различные TrojanDownloader (детектируются как Trojan.Java.Classloader и TrojanDownloader.Java.OpenConnection), которые также пытаются загрузить на компьютер компоненты червя.