Avatar di Marco Giuliani

a cura di Marco Giuliani

Si sta rapidamente diffondendo su ICQ un nuovo virus, denominato da Kaspersky come Worm.Win32.Bizex. Il worm manda agli utenti ICQ un messaggio con un URL, il quale collega ad una pagina dalla quale viene scaricato automaticamente il codice dannoso.

Una volta connessi al sito http://www.jokeworld.xxx/xxx.html (dove xxx nascondo il sito vero) viene avviato un exploit CHM. Il risultato è un file CHM che viene automaticamente eseguito sul computer della vittima. Il file contiene un altro file denominato 'iefucker.html', il quale contiene un TrojanDropper, un tipo di Trojan scritto in linguaggio script. Il trojan estrae un file denominato WinUpdate.exe nelle directory

C:Documents and SettingsAll UsersStart MenuProgramsStartupWinUpdate.exe (In windows 2000 e XP)

c:windowsStart MenuProgramsStartupWinUpdate.exe (In Windows 98)

WinUpdate.exe è un TrojanDownloader che scarica il componente principale del worm da un sito remoto e lo mette nella directory dei files temporanei sotto il nome aptgetupd.exe.

Aptgetupd.exe è un file PE di circa 84Kb, compresso con PECompact.

Una volta eseguito, il worm si copia con il nome sysmon.exe nella sottodirectory SYSMON presente nella directory di sistemadi Windows. Il worm aggiunge questo file nel registro alla voce

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

"sysmon" = %system%sysmonsysmon.exe

Il worm ha la capacità di rubare informazioni relative ad alcune banche quali

Acceso a Banca por Internet

Accueil Bred.fr > Espace Bred.fr

American Express UK - Personal Finance

Banamex.com

baNK

Banque

Banque en ligne

Barclaycard Merchant Services

Collegamento a Scrigno

Commercial Electronic Office Sign On

Credit Lyonnais interacti

CyberMUT

E*TRADE Log On

e-gold Account Access

Home Page Banca Intesa

LloydsTSB online - Welcome

Merchant Administration

Page d'accueil

Secure User Area

SUNCORP METWAY

Tous les produits et services

VeriSign Partner Manager

VeriSign Personal Trust Service

Wells Fargo - Small Business Home Page

Inoltre il worm ruba le informazioni trasmesse attraverso HTTPS, relative agli account dei servizi di posta quali Yahoo o altri.

Tutte le informazioni rubate vengono salvate sotto i files ~pass.log, ~key.log e ~post.log e vengono mandate via FTP al server remoto www.ustrading.info.

Il worm estrae alcuni files .dll e le copia nella directory di sistema di Windows

java32.dll

javaext.dll

icq_socket.dll (libreria usata per mandare i messaggi via ICQ)

ICQ2003Decrypt.dll (libreria ICQ)

Il worm guadagna l'accesso alla lista di contatti ICQ, disconnette il client ICQ in esecuzione, lo riconnette al server sotto il nome dello user della macchina infetta e manda a tutti i contatti trovati il link al proprio sito.

In aggiunta all'exploit CHM, quando il link viene aperto, c'è anche un tentativo di fare il download di un archivio Java contenente alcuni TrojanDownloader i quali tentano anch'essi di scaricare la parte principale del worm.