Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
24.02.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Bizex.A  (alias JS/Bizex.A)

Pri tvorbe popisov škodlivých kódov sa čoraz viac stretávame s takými exemplármi, ktoré sa snažia pri svojom prieniku do systémov a následnom šírení využívať jednu alebo viacero bezpečnostných dier objavených či už v OS MS Windows alebo aplikácii MS Internet Explorer. O jednom z takýchto červov priniesla informácie ruská AV-spoločnosť Kaspersky Labs.. Novoobjavený červ nazvaný Win32/Bizex.A sa šíri len medzi používateľmi aplikácií ICQ, ako nevinne vyzerajúca URL adresa. Pri jej zobrazení v nezabezpečenom prehliadači web stránok sa môže aktivovať špeciálny skript kód, ktorý sa postará o prenos a aktiváciu výkonného kódu červa na lokálnom systéme používateľa. Podľa predbežných odhadov sa tomuto škodlivému kódu podarilo za krátky čas infikovať približne 50 000 počítačových systémov na celom svete.

Počítačový červ Win32/Bizex.A (... alias JS/Bizex.A) sa toho času šíri výlučne medzi používateľmi originálnych verzií aplikácie ICQ umožňujúcej realizovať vzájomnú komunikáciu vybraných účastníkov siete ICQ. Používatelia alternatívnych aplikácií typu Instant Messagers, ako sú Miranda, Trillian alebo web rozhranie aplikácie ICQ nie sú týmto červom ohrození. Celý proces šírenia sa červa začína v okamihu, keď používateľ ICQ aplikácie príjme správu obsahujúcu jednoduchú URL adresu v tvare www.jokeworld.biz (... pozri obrázok). V prípade, kliknutia na zobrazenú adresu sa na väčšine počítačových systémov automaticky otvorí aplikácia MS Internet Explorer, ktorá načíta kód stránky pripravenej neznámym útočníkom. Jej viditeľný obsah tvorí niekoľko reklamných bannerov umiestnených na ploche vytvorenej v aplikácii Macromedia Flash. To, čo však používateľ nemá možnosť vidieť je skrytý kód stránky tvorený niekoľkými prvkami IFRAME a nebezpečným skript kódom, ktorý sa úspešne vykoná v prípade, že používateľ nemá v systéme inštalované bezpečnostné záplaty:

Pri zobrazení uvedenej web stránky sa do počítača uloží špeciálne upravený CHM súbor, nazvaný MEINE.SCM (... s veľkosťou 13 502 bajtov). Vzhľadom na to, že súborová prípona SCM je asociovaná zo zvukovými témami aplikácie ICQ je daný súbor uložený automaticky (... bez vedomia používateľa) na pevný disk. Ďalej sa na rad dostane špeciálny skript kód obsiahnutý v zobrazenej web stránke. Ten umožní za použitia chyby objavenej vo funkcii showHelp() aktivovať súbor IEFUCKER.HTML, ktorý je skryte integrovaný v súbore MEINE.SCM. Súbor IEFUCKER.HTML (... s veľkosťou 14 103 bajtov) obsahuje ďalší skript kód, ktorý po aktivácii uloží na pevný disk počítača spustiteľný súbor nazvaný WINUPDATE.EXE (... s veľkosťou 4 650 bajtov). Tento súbor sa v závislosti od OS MS Windows automaticky uloží do jedného z nasledujúcich adresárov:

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
C:\Windows\Start Menu\Programs\Startup\


K aktivácii súboru WINUPDATE.EXE dôjde počas najbližšieho štartu OS MS Windows, pričom jeho úlohou je získať z Internetu výkonný kód samotného červa Win32/Bizex.A a uložiť ho do súboru APTGETUPD.EXE (... s veľkosťou 86 528 bajtov), v rámci adresára s dočasnými súbormi. Po automatickej aktivácii tohto súboru dôjde k vytvoreniu nového podadresára SYSMON v systémovom adresári OS MS Windows, do ktorého sa uloží súbor SYSMON.EXE obsahujúci výkonný kód červa. Zároveň červ doplní do systémových registrov novú hodnotu, prostredníctvom ktorej zabezpečí pravidelnú aktiváciu súboru SYSMON.EXE pri každom štarte OS MS Windows.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... sysmon = [cesta k systémovému adresáru OS MS Windows]\SYSMON.EXE


Ďalej červ vyexportuje do systémového adresára OS MS Windows súbory: JAVA32.DLL, JAVAEXT.DLL, ICQ_SOCKET.DLL a ICQ2003DECRYPT.DLL, prostredníctvom ktorých sa dokáže automaticky pripojiť ku komunikačnému serveru ICQ pod menom používateľa, ktorého systém infikoval, neoprávnene získať prehľad o osobách evidovaných v zozname kontaktov aplikácie ICQ a odoslať im správu obsahujúcu URL adresu v tvare www.jokeworld.biz (... čo možno považovať za istý spôsob šírenia sa tohto červa). Na infikovanom systéme môže červ navyše sledovať aj používateľom vkladané heslá a dôležité dáta do viacerých finančných systémov. Všetky získané dáta červ odosiela prostredníctvom protokolu HTTPS na emailový server Yahoo.com alebo PassPort.com. Zároveň tieto dáta ukladá do súborov nazvaných ~PASS.LOG, ~KEY.LOG a ~POST.LOG, ktoré odosiela pomocou protokolu FTP na vzdialený server ustrading.info.

Podľa dodatočne zistených informácií dochádza počas inštalácie červa Win32/Bizex do systému aj k stiahnutiu a následnej aktivácii súboru NOCHEAT.JAR (... dostupného na vzdialenom serveri). Ten v sebe skrýva viacero trójskych koňov, ktoré sa môžu postarať o prenos ďalších škodlivých kódov do už infikovaného systému.

V čase zverejnenia tohto popisu dokázali škodlivý kód Win32/Bizex.A identifikovať len niektoré AV-systémy (napríklad: Kaspersky Anti-Virus, NOD32, VirusScan a Sophos), pričom postupne k nim budú pribúdať aj ďalšie AV-systémy. Používateľom pracujúcim s originálnymi aplikáciami ICQ odporúčame vykonať okamžitú aktualizáciu používaných AV-systémov a vyvarovať sa v najbližších dňoch klikaniu na URL odkazy prijímané prostredníctvom komunikačného systému ICQ od neznámych odosielateľov.



Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.