Kaspersky Labs warnt Anwender des Internet-Pagers ICQ vor einem neuen Netzwurm mit dem Namen "Bizex". Die Infektion geschieht beim Öffnen einer manipulierten Website, auf die über ICQ hingewiesen wird.

Zur Maskierung beim Betrachten der WebSite wird dem Anwender der Inhalt der WebSite "Joe Cartoon" (Autor der bekannten amerikanischen Zeichentrickfilme) vorgeführt. Unterdessen attackiert die Malware den Computer auf 2 Arten. Zunächst benutzt sie eine Schwachstelle im Browser Internet Explorer bei der Behandlung von CHM-Dateien (wir berichteten), als zweites eine Schwachstelle im Betriebssystem Windows. Im Ergebnis wird für den Anwedner unbemerkt eine spezielle Datei auf den Computer geladen, die von einer entfernten Netz-Schnittstelle die Trägerdatei "Bizex" (APTGETUPD.EXE) herunterlädt und sie ausführt.

Danach beginnt "Bizex" mit der Prozedur zur Infektion des Computers. Hierzu erstellt er das Verzeichnis SYSMON im System Katalog von Windows und kopiert sich unter dem Namen SYSMON.EXE in ihn hinein und registriert die Datei im "autoexe" System-Verzeichnis. Somit wird der Wurm bei jedem Starten des Betriebssystems in den Speicher des Computers geladen.

Nach diesem Prozess beginnt "Bizex" seine weitere Verbreitung über ICQ. Der Wurm zieht aus sich einige System-Bibliotheken zur Funktion mit dem Internet-Pager heraus und installiert sie im System-Verzeichnis von Windows. Hierdurch erhält "Bizex" Zugang zu Liste von ICQ-Kontaktadressen, stellt den aktiven ICQ ab und erstellt eine alternative Verbindung mit dem Server unter der Adresse des infizierten Computers, um an alle gefundenen Adressen Links auf die Hacker WebSite zu versenden.
Dabei ist zu beachten, dass der Wurm nur originäre ICQ-Clients attackiert (ausgenommen Web ICQ), wohingegen alternative Pager wie Miranda oder Trillian gegen den Wurm immun sind.

"Bizex" enthält darüberhinaus eine reihe gefährlicher Nebeneffekte, die zum Entweichen verraulicher Information führen können. Dabei scannt der Wurm den infizierten Computer, sammelt Daten über installierte Zahlungssysteme und versendet sie unbemerkt an einen anonymen Server. Der Wurm fängt auch Informationen ab, die vom Computer über HTTPS (geschütztes Protokoll, das u.a. für Finanztransaktionen verwendet wird) übertragen werden sowie Codes zum Zugang zu verschiedenen eMail-Systemen (z.B. Yahoo Mail). Hier gesammelte Daten werden ebenfalls an einen anonymen Server verschickt.

Kaspersky Labs rät Anwendern, die entsprechende Nachricht mit Link auf die WebSite "Jukeworld" nach Erhalt sofort zu löschen und auf keinen Fall die Site zu besuchen.

Mehr Infos:
Mehr Informationen
Kaspersky Labs




copyright by 4websites