Червяк в "тете Асе" приносит большой доход

Специалисты продолжают изучать новый вирус, вызвавший первую глобальную эпидемию ICQ. Bizex содержит ряд исключительно опасных побочных эффектов, которые могут привести к утечке важных конфиденциальных данных. "Червь" сканирует компьютер на наличие в нем платежных систем и отсылает сведения о них на удаленный анонимный сервер. Кроме того, Bizex перехватывает информацию, передаваемую с компьютера по протоколу HTTPS (защищенный протокол передачи данных, который, в частности, используется для важных финансовых транзакций), а также коды доступа к различным почтовым системам. Эти сведения также отправляются на удаленный анонимный сервер.

Эксперты считают, что оригинальная методика проникновения, атака на "непуганого зверя", коим до сих пор считался интернет-пейджер ICQ, плюс широкий набор шпионских возможностей принесли автору червя большую выгоду. Создатели нового сетевого червя Bizex, который вызвал первую глобальную эпидемию среди пользователей ICQ, получили доступ данным пользователей платежных систем Wells Fargo, American Express UK, Barclaycard, Credit Lyonnais, Bred.fr, Lloyds, E-gold.

Заражение компьютера происходит при посещении хакерского веб-сайта, приглашение на который доставляется по каналам ICQ.

Для маскировки при просмотре веб-сайта пользователю показывается содержание интернет-представительства "Joe Cartoon" - автора популярных американских мультсериалов. В это время программа атакует компьютер сразу по двум направлениям: через брешь в браузере Internet Explorer и через дырку в операционной системе Windows. В результате на компьютер незаметно для пользователя загружается специальный файл, который "дотаскивает" с удаленного веб-узла непосредственно файл-носитель "Bizex" (APTGETUPD.EXE) и запускает его на выполнение.

Дальше начинается процедура заражения. Вирус создает папку SYSMON в системном каталоге Windows, копирует себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при каждом старте операционной системы.

По завершении этого процесса Bizex начинает процедуру дальнейшего распространения по ICQ. Червь извлекает из себя несколько системных библиотек для работы с этим интернет-пейджером и устанавливает их в системный каталог Windows. С их помощью "Bizex" получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу от имени владельца зараженной машины и от его же имени рассылает по всем найденным контактам ссылку на указанный выше веб-сайт.

Стоит отметить, что червь не атакует Web ICQ, как и альтернативные пейджеры Miranda, Trillian, которые обладают иммунитетом.