Cseppfertőzéssel terjedő férgek

2004. február 28.

3 / 4 oldal
Azt, hogy az influenzát vagy az altípusos vírusos tüdőgyulladást el lehet kapni beszélgető partnerünktől, már mindenki számára természetes, és védekezünk is ellene: vagy azzal, hogy maszkot hordunk a pekingi utcákon, vagy nem megyünk moziba, nyilvános helyre, nem cseverészünk senkivel járványos időszakban... Kevesebben tudják, hogy az internetes csevegés sem veszélytelen, járványos időszakokban bizony súlyosan ágynak dőlhet számítógépünk, ha nem vigyázunk. Az alábbiakban erről lesz szó, előtte azonban engedjenek meg az olvasók egy kis lélektani eszmefuttatást az online csevegés természetrajzáról.
A W32/Bizex-A egy olyan féreg, mely eddigi ismereteink szerint kizárólag az ICQ-n terjed.

A féreg egy ICQ üzenet formájában jelentkezik először áldozatánál, akit arra buzdít, hogy nézze meg a www.jokeworld.com weblapot. A weboldalról, annak megnézésekor (az egér mozgatása elegendő) egy futtatható állomány, ún. startup.wav kerül a gépre.

Startup.wav tartalmaz egy scriptet - mely alkalmazásával létrehoz egy WinUpdate.exe fájlt, amely a startup mappába kerül. Amikor ezután a Windowst ismét elindítják, a WinUpdate.exe letölt egy akkor még updater.exe-nek nevezett állományt, mely a Windows Temp mappájába kerül. Oda már aptgetupd.exe néven. Az aptgetupd.exe a W32/Bizex-A féreg legfontosabb összetevője. A féreg bemásolja magát a Windows system mappa "sysmon" nevű alkönyvtárába sysmon.exe fájl néven, ami a regisztrációs adatbázisba az autorun kulcshoz, és az alábbi kulcshoz írja önmagát biztosítva ezzel, hogy minden rendszerindításkor a féreg futása is elkezdődjön:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysmon

A W32/Bizex-A dropper tulajdonságát kihasználva az alábbi DLL fájlokat "teríti szét" a Windows system mappában: icw_socket.dll, ICQ2003Decrypt.dll, java32.dll és javaext.dll.

Az DLL fájlokat a fertőzött felhasználó ("contact list") kapcsolatainak küldi szét a féreg ICQ üzenet formájában, és ennek segítségével a megfertőzött gépeken a fenti dll-ek kutatnak, kémkednek a felhasználó adatai - elsősorban banki információi után. Különösen azoknak a "keystrokes log"-ok tartalma érdekli, amelyekben utalást talál az alábbi listára (a tételek száma a féreg alaposabb megismerésével csak nő):

  • Acceso a Banca por Internet
  • Accueil Bred.fr > Espace Bred.fr
  • American Express UK - Personal Finance
  • Banamex.com
  • baNK
  • Banque
  • Banque en ligne
  • Barclaycard Merchant Services
  • Collegamento a Scrigno
  • Commercial Electronic Office Sign On
  • Credit Lyonnais interacti
  • CyberMUT
  • e-gold Account Access
  • E*TRADE Log On
  • Home Page Banca Intesa
  • LloydsTSB online - Welcome
  • Merchant Administration
  • Page d'accueil
  • Secure User Area
  • SUNCORP METWAY
  • Tous les produits et services
  • VeriSign Partner Manager
  • VeriSign Personal Trust Service
  • Wells Fargo - Small Business Home Page

Az információt tárolja és FTP-n küldi tovább egy távoli szerverre - amelyet a féreg írója ellenőriz.


3 / 4 oldal
 
 
 

Belépés

 

 

Regisztráció