BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Net-Worm.Win32.Bizex

Sınıf Net-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu solucan İnternet üzerinden yayılmak için İnternet anlık mesajlaşma sistemi ICQ kullanır.

Solucan, ICQ kullanıcılarına, kurbanın bilgisayarındaki solucanın zararlı bileşenini otomatik olarak indirmek ve yürütmek için prosedürler içeren bir dosyaya bağlı bir URL'ye sahip bir mesaj gönderir.

Yayılma

Siteye bağlanırken

 http://www.jokeworld.xxx/xxx.html 

(x burada belirli karakterleri değiştirmek için kullanılır) CHM-exploit-a kullanılır. Bunun sonucu, kurban bilgisayarında özel olarak oluşturulmuş bir CHM dosyasının otomatik olarak yürütülmesidir. Bu dosya 'iefucker.html' adında başka bir dosya içeriyor; Bu dosya, script dilinde yazılmış bir Trojan türü olan TrojanDropper'ı içerir. Bu Truva atı, WinUpdate.exe adında bir dosyadan kendisini bir dizi sistem dizinine çıkarır.

Windows 2000 ve Windows XP'de:

 C: Belgeler ve AyarlarAll UsersStart MenuProgramsStartupWinUpdate.exe 

ve Windows 98'de:

 c: windowsStart MenuProgramsStartupWinUpdate.exe 

WinUpdate.exe, solucanın ana bileşenini uzak bir siteden indiren ve aptgetupd.exe adı altında geçici dizine yazan TrojanDownloader grubunun Truva atı programıdır.

Ana bileşen

Aptgetupd.exe, PECompact kullanılarak paketlenmiş, yaklaşık 84KB (86528 bayt) boyutunda bir PE.EXE dosyasıdır.

Bir kez çalıştırıldığında, solucan, sysmon.exe adı altında Windows sistem dizinindeki SYSMON alt dizinine kopyalanır ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarına kaydeder:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  "sysmon" =% system% sysmonsysmon.exe 

Solucan, bir dizi finansal hizmetle ilgili bilgileri çalmasını sağlayan bir hırsızlık işlevine sahiptir:

 Acceso a Banca por İnternet
Accueil Bred.fr> Espace Bred.fr
American Express UK - Kişisel Finans
Banamex.com
banka
Banque
Banque en ligne
Barclaycard Ticari Hizmetler
Collegamento a Scrigno
Ticari Elektronik Ofis Işareti Açık
Kredi Lyonnais etkileşimi
CyberMUT
E * TİCARET Giriş
e-altın Hesap Erişimi
Ana Sayfa Banca Intesa
LloydsTSB online - Hoşgeldiniz
Satıcı Yönetimi
Sayfa d'accueil 
Güvenli Kullanıcı Alanı
SUNCORP METWAY
Tous les produits ve hizmetler
VeriSign İş Ortağı Yöneticisi
VeriSign Kişisel Güven Servisi
Wells Fargo - Küçük İşletme Ana Sayfası 

Ayrıca, Yahoo gibi çeşitli posta hizmetlerinin hesaplarıyla ilgili HTTPS tarafından aktarılan verileri de çalar.

Çalınan tüm bilgiler ~ pass.log, ~ key.log ve ~ post.log dosyalarına kaydedilir ve FTP tarafından uzak bir sunucuya gönderilir: www.ustrading.info

Solucan bir dizi .dll dosyasını kendisinden çıkarır ve bunları Windows sistem dizinine yükler:

 java32.dll
javaext.dll
icq_socket.dll (kütüphane ICQ ile mesaj göndermek için kullanılır)
ICQ2003Decrypt.dll (ICQ kütüphanesi) 

Solucan ICQ iletişim listesine erişir, başlatılan ICQ istemcisinin bağlantısını keser, virüs bulaşmış makinenin kullanıcısı adı altında sunucuya bağlanır ve tüm kişilerin kendi sitesine bir bağlantı bulduğunu gönderir.

Diğer

CHM istismarına ek olarak, bağlantı açıldığında, aynı zamanda deneyen bir dizi TrojanDownloader ( Trojan.Java.ClassLoader ve TrojanDownloader.Java.OpenConnection olarak algılanan) içeren bir Java arşivi indirmek ve yürütmek için bir girişimde bulunulur. kurbağanın bileşenlerini kurbanın bilgisayarına indirmek.


Orijinaline link