Si sta rapidamente diffondendo su ICQ un nuovo virus, denominato da Kaspersky come Worm.Win32.Bizex. Il worm manda agli utenti ICQ un messaggio con un URL, il quale collega ad una pagina dalla quale viene scaricato automaticamente il codice dannoso.
Una volta connessi al sito http://www.jokeworld.xxx/xxx.html (dove xxx nascondo il sito vero) viene avviato un exploit CHM. Il risultato è un file CHM che viene automaticamente eseguito sul computer della vittima. Il file contiene un altro file denominato 'iefucker.html', il quale contiene un TrojanDropper, un tipo di Trojan scritto in linguaggio script. Il trojan estrae un file denominato WinUpdate.exe nelle directory
C:Documents and SettingsAll UsersStart MenuProgramsStartupWinUpdate.exe (In windows 2000 e XP)
c:windowsStart MenuProgramsStartupWinUpdate.exe (In Windows 98)
WinUpdate.exe è un TrojanDownloader che scarica il componente principale del worm da un sito remoto e lo mette nella directory dei files temporanei sotto il nome aptgetupd.exe.
Aptgetupd.exe è un file PE di circa 84Kb, compresso con PECompact.
Una volta eseguito, il worm si copia con il nome sysmon.exe nella sottodirectory SYSMON presente nella directory di sistemadi Windows. Il worm aggiunge questo file nel registro alla voce
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"sysmon" = %system%sysmonsysmon.exe
Il worm ha la capacità di rubare informazioni relative ad alcune banche quali
Acceso a Banca por Internet
Accueil Bred.fr > Espace Bred.fr
American Express UK - Personal Finance
Banamex.com
baNK
Banque
Banque en ligne
Barclaycard Merchant Services
Collegamento a Scrigno
Commercial Electronic Office Sign On
Credit Lyonnais interacti
CyberMUT
E*TRADE Log On
e-gold Account Access
Home Page Banca Intesa
LloydsTSB online - Welcome
Merchant Administration
Page d'accueil
Secure User Area
SUNCORP METWAY
Tous les produits et services
VeriSign Partner Manager
VeriSign Personal Trust Service
Wells Fargo - Small Business Home Page
Inoltre il worm ruba le informazioni trasmesse attraverso HTTPS, relative agli account dei servizi di posta quali Yahoo o altri.
Tutte le informazioni rubate vengono salvate sotto i files ~pass.log, ~key.log e ~post.log e vengono mandate via FTP al server remoto www.ustrading.info.
Il worm estrae alcuni files .dll e le copia nella directory di sistema di Windows
java32.dll
javaext.dll
icq_socket.dll (libreria usata per mandare i messaggi via ICQ)
ICQ2003Decrypt.dll (libreria ICQ)
Il worm guadagna l'accesso alla lista di contatti ICQ, disconnette il client ICQ in esecuzione, lo riconnette al server sotto il nome dello user della macchina infetta e manda a tutti i contatti trovati il link al proprio sito.
In aggiunta all'exploit CHM, quando il link viene aperto, c'è anche un tentativo di fare il download di un archivio Java contenente alcuni TrojanDownloader i quali tentano anch'essi di scaricare la parte principale del worm.
