1. Der Wurm->Bizex' attackiert ICQ-Anwender (2)
Kaspersky Labs ... warnt
Anwender des Internet-Pagers ICQ vor einem neuen Netzwurm:->Bizex'....
Die Infektion geschieht beim Öffnen der Hacker WebSite, auf die über ICQ hingewiesen wird.
Zur Maskierung wird beim Betrachten der WebSite dem Anwender der Inhalt der WebSite->Joe Cartoon' (Autor der bekannten amerikanischen
Zeichentrickfilme) vorgeführt. Unterdessen attackiert die Malware den Computer auf 2 Arten. Zunächst benutzt sie eine Schwachstelle
im Browser Internet Explorer
(
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-047.asp).
Zweitens benutzt sie eine Schwachstelle im Betriebssystem Windows
(
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-011.asp).
Im Ergebnis wird für den Anwender unbemerkt eine spezielle Datei auf den Computer geladen, die von einer entfernten Netz-Schnittstelle die Trägerdatei Bizex (APTGETUPD.EXE) herunterlädt und sie
ausführt.
Danach beginnt->Bizex' mit der Prozedur zur Infektion des Computers.
Hierzu erstellt er das Verzeichnis SYSMON im System Katalog von Windows
und kopiert sich unter dem Namen SYSMON.EXE in ihn hinein und
registriert die Datei im->autoexe' System-Verzeichnis. Somit wird der
Wurm bei jedem Starten des Betriebssystems in den Speicher des Computers
geladen.
Nach diesem Prozess beginnt->Bizex' seine weitere Verbreitung über
ICQ. Der Wurm zieht aus sich einige System-Bibliotheken zur Funktion mit
dem Internet-Pager heraus und installiert sie im System-Verzeichnis von
Windows. Hierdurch erhält->Bizex' Zugang zur Liste von
ICQ-Kontaktadressen, stellt den aktiven ICQ ab und erstellt eine
alternative Verbindung mit dem Server unter der Adresse des infizierten
Computers, um an alle gefundenen Adressen Links auf die Hacker WebSite
zu versenden. Dabei ist zu beachten, dass der Wurm nur originäre
ICQ-Clients attackiert (ausgenommen Web ICQ), wohingegen alternative
Pager wie Miranda oder Trillian gegen den Wurm immun sind.
'Bizex' enthält darüberhinaus eine reihe gefährlicher
Nebeneffekte, die zum Entweichen vertraulicher Information führen können. Dabei scannt der Wurm den infizierten Computer, sammelt Daten über installierte Zahlungssysteme und versendet sie unbemerkt
an einen anonymen Server. Zu den betroffenen Systemen gehören:
Wells Fargo American Express UK Barclaycard Credit Lyonnais
Bred.fr Lloyds E-gold
Der Wurm fängt auch Informationen ab, die vom Computer über HTTPS (geschütztes Protokoll, das u.a. für Finanztransaktionen verwendet wird) übertragen werden sowie Codes zum Zugang zu verschiedenen eMail-Systemen (z.B. Yahoo Mail). Hier gesammelte Daten
werden ebenfalls an einen anonymen Server verschickt.
'In diesem Falle haben wir es mit einer originellen
Penetrations-Methode, einer Attacke auf ein ansonsten stabiles System
und den Einsatz einer Reihe von Spy-Funktionen gleichzeitig zu tun. Dies
hat dem Wurm-Schreiber gewiss Nutzen eingebracht, obwohl die
SchadensSite bereits 4 Stunden nach ihrem Erscheinen geschlossen wurde',
- so Eugene Kaspersky, Leiter der Anti-Virenforschung bei Kaspersky
Labs.->Gleichzeit warnen wir Internet-Surfer vor einem Öffnen
verdächtiger Sites und empfehlen ein sofortiges Herunterladen der
Upadates für Internet Explorer und Windows.
Nachricht von Kaspersky