ПК происходит при посещении хакерского Web-сайта, приглашение на который доставляется по ICQ. Пока посетителю для маскировки показывается содержание Internet-представительства Joe Cartoon, вредоносная программа атакует компьютер сразу с двух направлений: во-первых, используя брешь в Internet Explorer http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-047.asp), во-вторых, через брешь в Windows (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-011.asp). В результате на компьютер незаметно загружается специальный файл, который "дотаскивает" с удаленного Web-узла файл-носитель Bizex (APTGETUPD.EXE) и запускает его на выполнение. После этого Bizex создает папку SYSMON в системном каталоге Windows, копирует себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе автозапуска системного реестра, обеспечивая свою загрузку в память ПК при каждом старте операционной системы. По завершении этого процесса червь извлекает из себя несколько системных библиотек для работы с ICQ и устанавливает их в системный каталог Windows, получая доступ к списку контактов пейджера. Затем он отключает запущенный ICQ-клиент, самостоятельно подключается к серверу от имени владельца зараженной машины и от его имени рассылает по всем найденным контактам ссылку на указанный выше сайт. Червь атакует только оригинальные ICQ-клиенты (за исключением Web ICQ), альтернативные пейджеры (Miranda, Trillian) обладают иммунитетом. Bizex опасен: он сканирует зараженный компьютер, собирает сведения об установленных платежных системах и незаметно отсылает их на удаленный анонимный сервер. В число уязвимых систем попали: Wells Fargo, American Express UK, Barclaycard, Credit Lyonnais, Bred.fr, Lloyds, E-gold. Помимо этого Bizex перехватывает и посылает на анонимный сервер информацию, передаваемую с компьютера по протоколу HTTPS, а также коды доступа к различным почтовым системам (например, Yahoo Mail). По словам руководителя антивирусных исследований "Лаборатории Касперского" Евгения Касперского, вредоносный сайт был закрыт спустя всего четыре часа с момента начала эпидемии. Защита от Bizex уже добавлена в базу данных "Антивируса Касперского".

Поделитесь материалом с коллегами и друзьями