Технические детали
Вирус-червь, распространяющийся через интернет при помощи интернет-пейджера ICQ.
Червь рассылает пользователям ICQ сообщения с URL указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонентов.
Размножение
При обращении к ссылке из присланного сообщения
http://www.jokeworld.xxx/xxx.html :))LOL (где xxx - замененные нами символы)
происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя. Данный архив содержит в себе файл "iefucker.html" представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe".
Для платформы Windows 2000 и Windows XP:
"C:\Documents and Settings\All Users\Start Menu\Programs\Startup\WinUpdate.exe"
Для платформы Windows 98:
"c:\windows\Start Menu\Programs\Startup\WinUpdate.exe"
Данный файл является троянской программой класса TrojanDownloader, которая загружает с удаленного сайта основной компонент червя и записывает его в системный временный каталог под именем "aptgetupd.exe".
Главный компонент
Является PE-файлом размером около 84KB (86528 байт), упакован PECompact.
После запуска червь копирует себя в подкаталог SYSMON в системном каталоге Windows под именем "sysmon.exe" и регистрирует данный файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"sysmon" = "%system%\sysmon\sysmon.exe"
Червь обладает функцией кражи конфиденциальной информации различных банковских служб:
Acceso a Banca por Internet
Accueil Bred.fr > Espace Bred.fr
American Express UK - Personal Finance
Banamex.com
baNK
Banque
Banque en ligne
Barclaycard Merchant Services
Collegamento a Scrigno
Commercial Electronic Office Sign On
Credit Lyonnais interacti
CyberMUT
E*TRADE Log On
e-gold Account Access
Home Page Banca Intesa
LloydsTSB online - Welcome
Merchant Administration
Page d'accueil
Secure User Area
SUNCORP METWAY
Tous les produits et services
VeriSign Partner Manager
VeriSign Personal Trust Service
Wells Fargo - Small Business Home Page
А также данных, передаваемых по HTTPS и аккаунтов различных почтовых служб (Yahoo,etc).
Вся украденная информация хранится в файлах "~pass.log", "~key.log", "~post.log" и пересылается по FTP на удаленный сервер "www.ustrading.info".
Червь извлекает из себя несколько системных библиотек и устанавливает их в системный каталог Windows:
java32.dll
javaext.dll
icq_socket.dll (библиотека для отправки сообщений через ICQ)
ICQ2003Decrypt.dll (библиотека для ICQ)
Червь получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу под данными пользователя зараженной машины и рассылает по всем найденным контактам ссылку на свой сайт.
Прочее
При открытии ссылки, помимо использования CHM-эксплойта, происходит попытка загрузки и исполнения Java-архива, содержащего различные TrojanDownloader (детектируются как
Trojan.Java.Classloader и
TrojanDownloader.Java.OpenConnection), которые также пытаются загрузить на компьютер компоненты червя.
RSS-каналы
