A "Bizex" féreg pénzügyi adatok után kutat az ICQ felhasználóknál

A Kaspersky Labs észlelte először a "Bizex" internetes férget, mely az első olyan féreg, amelyik az ICQ (Internet instant messaging - közvetlen internetkapcsolaton alapuló üzenő rendszer) felhasználói között okozott globális fertőzést. Elterjedésére jellemző, hogy jelenleg már a világ minden pontjáról érkeznek fertőzést tartalmazó ICQ üzenetek. Egy előzetes becslés szerint legkevesebb 50.000 fertőzött számítógép van már.

A fertőzés akkor történik meg, ha a felhasználó meglátogat egy preparált hacker weblapot, aminek megnézésére a meghívást ICQ-n kapja. A weblap álcázott, a látogató a Joe Cartoon a népszerű amerikai képregény-figura weblapját látja. Ugyanakkor a számítógépet a rosszindulatú program két úton támadja: az első esetben egy ismert Internet Explorer hibát próbál kihasználni, míg más esetben egy ismert Windows hibát. Az eredmény ugyanaz, a gépre jut a felhasználó tudta nélkül egy "különleges" állomány, ami a Bizex nevű férget tartalmazza. A Bizex a gépre jutáskor azonnal feltelepül, és megkezdi "nem kívánt feladatát" végrehajtani.

A fertőzés az áldozat gépén a következő folyamatban zajlik:

A Bizex alkot egy SYSMON nevű könyvtárat a Windows system directoryban, majd, mint SYSMON.EXE bemásolja ide magát. Ezután regisztrálja magát a rendszerleíró adatbázis auto-run kulcsba. Így a féreg minden alkalommal betöltődik a memóriába, ha a gép elindul.

Ha mindez sikeres volt, akkor a féreg azonnal az ICQ -t keresi meg, és terjeszti azon magát. A féreg összegyűjt olyan system adatokat, amit az ICQ használ, a programban van, és elhelyezi ezeket a Windows system directoryban. Ezen adatok segítségével a Bizex hozzájut az ICQ un. kontakt listájához, aktív kapcsolatokat bont szét, ill. újat hoz létre a tulajdonos nevében több ICQ klienssel, és egy szerverrel a fertőzött gép.

Elküldi a tulajdonos nevében a fertőzött weblap linkjét minden aktív kapcsolatnak. A Kaspersky Lab's kutatói megjegyzik, hogy csak valódi ICQ programot fertőz, de érdekes módon az ICQ weblapját "sértetlenül" hagyja. Az alternatív rendszereket (Mirinda, Trillian) nem fertőzi. A Bizex számos veszélyes funkcióra képes, igen széles és "ártó a fegyvertára": kémkedik, és begyűjti a bizalmas információkat mindenről, amit megtalál, de elsősorban a pénzügyi vonatkozású információkat keresi: banki tranzakciók adatai, hitelkártya-számok stb. és a felhasználó tudta nélkül továbbítja ezeket az információkat az említett szerverre. Amit elsősorban keres:

* Wells Fargo

* American Express UK

* Barclaycard

* Credit Lyonnais

* Bred.fr

* Lloyds

* E-gold

Ezen túl átvizsgálja az összes HTTPS (encrypted communications protocol) log fájt mert az üzleti tranzakciók általában titkosított HTTPS protokollon cserélődnek.

"Ez olyan, mint egy láthatatlan arcú ember pénzszerzési kísérlete a behatolás, a fertőzés új módszerével. Tény, hogy az ICQ - t nem használták még fel ilyen kiterjedt fertőzésre -támadásra. Újdonság a vírus is, mert ellentétben az ismert, eddigi ICQ vírusokkal szemben számtalan funkciója van: kém funkció stb. Ez természetesen hatalmas hasznot hozhatott a Bizex" írójának, de az inkriminált weblapot négy órával a vírus kitörése után lezárták." - mondta Eugene Kaspersky, Head of Anti-Virus Research at Kaspersky Labs.

"A felhasználóknak ezek után még óvatosabban kell böngészni, kikerülni a gyanús lapokat - és folyamatosan frissíteni védelmi rendszerüket, és operációs rendszerüket".

Igen: ICQ férget ismerünk, de eddig ez az első példa, amikor világmérető fertőzés alakul ki, és a féreg oly összetett funkciókkal rendelkezik, amik alkalmasak a kutatásra, a célzott kutatásra, az üzleti kapcsolatok feltárására, és minden olyan adat megszerzésére, ami hasznot hoz írójának.

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció