Zákeřná hrozba: červ skrývající se za odkazem v ICQ

Včera se začal šířit nový červ W32.Bizex, který se svým způsobem distribuce vymyká běžným standardům. Rozbliká se vám ICQ, otevřete nově příchozí zprávu od kamaráda a v ní najdete jednoduše vložený odkaz, smajlík a slovíčko LOL. Nu což, podívám se, co mi brach posílá. Kliknete, otevře se stránka se zajímavou flash animací, ale v pozadí se vám mezitím do počítače souká červík.

Zpráva vypadá zhruba takto:

http://www.jokeworld... :-) LOL

POKUD VÁM TATO ZPRÁVA PŘIJDE, V ŽÁDNÉM PŘÍPADĚ NA ODKAZ NEKLIKEJTE!

Pokud totiž na uvedený odkaz kliknete, otevře se vám okno Internet Exploreru a místo uvedené nedokončené adresy se ve skutečnosti připojíte na adresu http://www.jokeworld.xxx/xxx.html, kde písmena x jsou nahrazeny různými znaky. Na první pohled stránka vypadá neškodně – legrační animace ve Flashi. Skutečnost je však horší - animace je totiž pouhou zástěrkou a daná stránka otevře speciálně upravený CHM soubor (soubor s Windows nápovědou), zneužívající bezpečnostní chyby ve funkci ShowHelp().

CHM soubor ve svém nitru obsahuje další vložený soubor iefucker.html, sloužící jako tzv. Trojandropper – program, vypouštějící na daný počítač trojského koně, který má jméno WinUpdate.exe a je umísťován do složek C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ nebo C:\Windows\Start Menu\Programs\Startup\.

Po spuštění stahuje z internetu svou další komponentu a ukládá ji ve složce TEMP pod jménem aptgetupd.exe. Jedná se o klasický spustitelný EXE soubor o velikosti zhruba 84KB (86 528 bajtů). Při prvním spuštění se nakopíruje pod jménem sysmon.exe do podadresáře SYSMON složky Windows\System a zaregistruje se do systémového registru v klíči [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] pro zajištění pravidelné spouštění i po restartu počítače následujícím záznamem: "sysmon" = %system%\sysmon\sysmon.exe

Červ dále vypouští soubory „java32.dll, javaext.dll, icq_socket.dll a ICQ2003Decrypt.dll“ do adresáře System operačního systému. Z externího serveru stahuje soubor NOCHEAT.JAR, obsahující celou řadu dalších nebezpečných „stahovačů“ trojských koní.

Po spuštění se připojí na ICQ a rozesílá uživatelům z kontaktů výše uvedenou zprávu s nebezpečným odkazem. Červ monitoruje data zasílaná pomocí HTTPS - například připojování k poštovním službám typu Yahoo. Spektrum činností doplňuje funkcionalita, dovolující monitorovat klávesnici a získávat z napadeného systému informace následujících finančních služeb:

  • Acceso a Banca por Internet
  • Accueil Bred.fr > Espace Bred.fr
  • American Express UK - Personal Finance
  • Banamex.com
  • baNK
  • Banque
  • Banque en ligne
  • Barclaycard Merchant Services
  • Collegamento a Scrigno
  • Commercial Electronic Office Sign On
  • Credit Lyonnais interacti
  • CyberMUT
  • E*TRADE Log On
  • e-gold Account Access
  • Home Page Banca Intesa
  • LloydsTSB online - Welcome
  • Merchant Administration
  • Page d`accueil
  • Secure User Area
  • SUNCORP METWAY
  • Tous les produits et services
  • VeriSign Partner Manager
  • VeriSign Personal Trust Service
  • Wells Fargo - Small Business Home Page

Podle všeho ale červ nemá rád českou klávesnici, což ho prozradí při běžné práci například pokus napsat velké písmeno Č. Po stisku klávesy s háčkem se napíšou dva háčky za sebou a poté samotné písmeno C. Tento fakt je zatím ale ověřen pouze na dvou počítačích, takže nemusí být stoprocentně platný.

Všechny získané informace červ ukládá do souborů ~pass.log, ~key.log a ~post.log a následně odesílá pomocí FTP na vzdálený server www.ustrading.info.

Pokud jste červem zasaženi, zkuste použít služby aktualizovaného antivirového programu nebo v nouzovém režimu operačního systému vymažte soubory Winupdate.exe a sysmon.exe.

K napadení systému musíte nainstalovaný komunikační program ICQ nebo jiného klienta pro přístup k ICQ síti. Při otevření odkazu v Internet Exploreru je následně využito bezpečnostní chyby CHM souborů ve funkci ShowHelp(). Jak vidno - rafinovanost červů se začíná stále zvyšovat.

Diskuze (66) Další článek: Malá hrozba (či pomoc): Nový červ Welchia.D

Témata článku: Windows, Odkaz, Yahoo Finance, Hrozba, Červ, ETA, Trojský kůň, Získaný klíč, Welcome, Startup, Nebezpečný odkaz, Bezpečnostní složka, Fargo, LOL, VeriSign, Credit, ICQ, American Express, Wells Fargo


Určitě si přečtěte

Květnové Windows 10 jsou za dveřmi: Co přinesou nového?

Květnové Windows 10 jsou za dveřmi: Co přinesou nového?

** Windows 10 May 2019 Update se blíží ** Hlavní viditelnou změnou je bílé téma ** Novinek je ale samozřejmě mnohem více

Vladislav Kluska | 58

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

** Máme eObčanku, máme čtečku, vyzkoušeli jsme přihlášení na weby úřadů. ** Objevily se drobné problémy, podařilo se nám je vyřešit. ** Používání eObčanky pro online identifikaci je velmi pohodlné.

Marek Lutonský | 38

Raspberry Pi 4 Model B: Raketa za tisícikorunu, která utáhne dva monitory

Raspberry Pi 4 Model B: Raketa za tisícikorunu, která utáhne dva monitory

** Britové před pár dny představili nové Raspberry Pi 4 Model B ** Nový čipset má dost výkonu na dva HDMI monitory ** Za tisícovku získáte počítač na základní práci

Jakub Čížek | 72



Aktuální číslo časopisu Computer

Velký test Wi-Fi mesh

Nejlepší hodinky pro všechny aktivity

Důležité aplikace na cesty

Jak streamovat video na Twitch