Новый червь атакует через ICQ
Специалисты по информационной безопасности предупреждают: через популярный интернет-пейджер ICQ (как его в шутку называют офисные служащие, «цветок на могиле рабочего времени») распространяется новый сетевой червь под названием Bizex, который использует уязвимости самой ICQ, а также браузера Internet Explorer.
Как сообщили представители "Лаборатория Касперского", пользователю ICQ приходит сообщение с приглашением посетить страницу на сайте jokeworld и дополнением ":)) LOL". В процессе демонстрации находящегося по этому адресу мультфильма из популярного сериала Joecartoon на компьютер пользователя через уязвимость в ICQ проникает вирус, изменяющий конфигурацию ICQ таким образом, чтобы разослать вышеприведенное сообщение всем контактам из контакт-листа программы.
Червь рассылает пользователям ICQ сообщения с URL, указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонент.
При обращении к ссылке
http://www.jokeworld.xxx/xxx.html (где xxx - замененные символы) происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя. Данный архив содержит в себе файл iefucker.html, представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe" (для платформы Windows 2000 и Windows XP - "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\WinUpdate.exe", для платформы Windows 98 -"C:\Windows\Start Menu\Programs\Startup\WinUpdate.exe").
Данный файл является троянской программой класса TrojanDownloader, которая загружает с удаленного сайта основной компонент червя и записывает его во временный каталог, с именем "aptgetupd.exe". Этот файл получает доступ к списку контактов ICQ и рассылает по всем найденным адресам вышеприведенную ссылку. Кроме того, данная компонента обладает функцией кражи разнообразной банковской информации. Более подробный анализ этого компонента будет доступен позже.
При открытии ссылки, помимо использования CHM-эксплойта, происходит попытка загрузки и исполнения Java-архива, содержащего различные TrojanDownloader (детектируются как Trojan.Java.Classloader и TrojanDownloader.Java.OpenConnection), которые также пытаются загрузить на компьютер компоненты червя.
Источник: по материалам "Лаборатории Касперского". (С)