ICQ-n keresztül szaporodó féregvírus

A féreg paraméterei

Felfedezésének ideje: 2004. február 24.
Utolsó frissítés ideje: 2004. február 24.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Általános tudnivalók

A Bizex számos komponenssel rendelkezik, melyeket a felhasználó úgy tölthet le számítógépére, hogy egy ICQ-n kapott üzenetben levő linkre kattint. A céloldal rosszindulatú kódokat tartalmaz – HTML-be ágyazva -, többek között a meine.scm állományt (13.502 byte) tölti le a rendszerre; ezt követően az üzenőkliens egy Startup.wav állományt tárol el, melyben a fenti file beágyazottan található meg.

A HTML file az Internet Explorer showhelp() funkciójában levő sebezhetőséget használja ki, hogy lefuttassa az iefucker.html (14.103 byte) állományt. Ez létrehozza a WinUpdate.exe (4.650 byte) file-t a startup könyvtárban. Ennek futtatásával bemásolja magát a Windows Temp könyvtárába alsdfkj.exe néven, majd ugyanide letölt egy állományt (aptgetupd.exe – 86.528 byte); tulajdonképpen ez a file fejti ki aztán a féreg működését.

Aktiválódása esetén lezajló események

– létrehozza a System könyvtárban a sysmon nevű mappát, majd bemásolja ide magát sysmon.exe névvel
– hozzáadja a sysmon=[System elérési útvonala]/sysmon/sysmon.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a sysmon értéket a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion kulcshoz
– létrehozza a {5E09D550-A19B-470c-91CA-C755B9DBB4A9} elnevezésű mutexet, így csak egyszer töltődik be a féreg a memóriába
– létrehozza a következő állományokat a System könyvtárban:
. ICQ2003Decry (7.168 byte)
. icq_socket.dll (143.360 byte)
. java32.dll (164.840 byte)
. javaext.dll (98.304 byte)
. xtempx.$
– a fent említett sysmon könyvtárban létrehozza a ~pass.log és a ~key.log állományokat
– a fenti file-ok a következő aktív ablakokból származó ellopott adatokat tartalmazzák:
. SUNCORP METWAY
. VeriSign Partner Manager
. VeriSign Personal Trust Service
. Commercial Electronic Office Sign On
. Wells Fargo – Small Business Home Page
. Merchant Administration
. American Express UK – Personal Finance
. Secure User Area
. Barclaycard Merchant Services
. Collegamento a Scrigno
. Home Page Banca Intesa
. Banque
. Tous les produits et services
. Banque en ligne
. Banamex.com
. CyberMUT
. Credit Lyonnais interacti
. Accueil Bred.fr > Espace Bred.fr
. Page d´accueil
. E*TRADE Log On
. LloydsTSB online – Welcome
. Acceso a Banca por Internet
. baNK
. e-gold Account Access
– a fent bemutatott log állományokat FTP-n keresztül elküldi a www.ustrading.info címre
– megnyitja a 1534-es TCP portot, melyen utasításokra vár
– ICQ üzenetet küld minden kontakt számára, melyben a következő weboldalra mutató link található (óva intünk mindenkit ennek megnyitásától!): http: //www.jokeworld.biz/index.html