Zákeřná hrozba: červ skrývající se za odkazem v ICQ

Včera se začal šířit nový červ W32.Bizex, který se svým způsobem distribuce vymyká běžným standardům. Rozbliká se vám ICQ, otevřete nově příchozí zprávu od kamaráda a v ní najdete jednoduše vložený odkaz, smajlík a slovíčko LOL. Nu což, podívám se, co mi brach posílá. Kliknete, otevře se stránka se zajímavou flash animací, ale v pozadí se vám mezitím do počítače souká červík.

Zpráva vypadá zhruba takto:

http://www.jokeworld... :-) LOL

POKUD VÁM TATO ZPRÁVA PŘIJDE, V ŽÁDNÉM PŘÍPADĚ NA ODKAZ NEKLIKEJTE!

Pokud totiž na uvedený odkaz kliknete, otevře se vám okno Internet Exploreru a místo uvedené nedokončené adresy se ve skutečnosti připojíte na adresu http://www.jokeworld.xxx/xxx.html, kde písmena x jsou nahrazeny různými znaky. Na první pohled stránka vypadá neškodně – legrační animace ve Flashi. Skutečnost je však horší - animace je totiž pouhou zástěrkou a daná stránka otevře speciálně upravený CHM soubor (soubor s Windows nápovědou), zneužívající bezpečnostní chyby ve funkci ShowHelp().

CHM soubor ve svém nitru obsahuje další vložený soubor iefucker.html, sloužící jako tzv. Trojandropper – program, vypouštějící na daný počítač trojského koně, který má jméno WinUpdate.exe a je umísťován do složek C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ nebo C:\Windows\Start Menu\Programs\Startup\.

Po spuštění stahuje z internetu svou další komponentu a ukládá ji ve složce TEMP pod jménem aptgetupd.exe. Jedná se o klasický spustitelný EXE soubor o velikosti zhruba 84KB (86 528 bajtů). Při prvním spuštění se nakopíruje pod jménem sysmon.exe do podadresáře SYSMON složky Windows\System a zaregistruje se do systémového registru v klíči [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] pro zajištění pravidelné spouštění i po restartu počítače následujícím záznamem: "sysmon" = %system%\sysmon\sysmon.exe

Červ dále vypouští soubory „java32.dll, javaext.dll, icq_socket.dll a ICQ2003Decrypt.dll“ do adresáře System operačního systému. Z externího serveru stahuje soubor NOCHEAT.JAR, obsahující celou řadu dalších nebezpečných „stahovačů“ trojských koní.

Po spuštění se připojí na ICQ a rozesílá uživatelům z kontaktů výše uvedenou zprávu s nebezpečným odkazem. Červ monitoruje data zasílaná pomocí HTTPS - například připojování k poštovním službám typu Yahoo. Spektrum činností doplňuje funkcionalita, dovolující monitorovat klávesnici a získávat z napadeného systému informace následujících finančních služeb:

  • Acceso a Banca por Internet
  • Accueil Bred.fr > Espace Bred.fr
  • American Express UK - Personal Finance
  • Banamex.com
  • baNK
  • Banque
  • Banque en ligne
  • Barclaycard Merchant Services
  • Collegamento a Scrigno
  • Commercial Electronic Office Sign On
  • Credit Lyonnais interacti
  • CyberMUT
  • E*TRADE Log On
  • e-gold Account Access
  • Home Page Banca Intesa
  • LloydsTSB online - Welcome
  • Merchant Administration
  • Page d`accueil
  • Secure User Area
  • SUNCORP METWAY
  • Tous les produits et services
  • VeriSign Partner Manager
  • VeriSign Personal Trust Service
  • Wells Fargo - Small Business Home Page

Podle všeho ale červ nemá rád českou klávesnici, což ho prozradí při běžné práci například pokus napsat velké písmeno Č. Po stisku klávesy s háčkem se napíšou dva háčky za sebou a poté samotné písmeno C. Tento fakt je zatím ale ověřen pouze na dvou počítačích, takže nemusí být stoprocentně platný.

Všechny získané informace červ ukládá do souborů ~pass.log, ~key.log a ~post.log a následně odesílá pomocí FTP na vzdálený server www.ustrading.info.

Pokud jste červem zasaženi, zkuste použít služby aktualizovaného antivirového programu nebo v nouzovém režimu operačního systému vymažte soubory Winupdate.exe a sysmon.exe.

K napadení systému musíte nainstalovaný komunikační program ICQ nebo jiného klienta pro přístup k ICQ síti. Při otevření odkazu v Internet Exploreru je následně využito bezpečnostní chyby CHM souborů ve funkci ShowHelp(). Jak vidno - rafinovanost červů se začíná stále zvyšovat.

Diskuze (66) Další článek: Malá hrozba (či pomoc): Nový červ Welchia.D

Témata článku: Windows, American Express, ICQ, Bezpečnostní složka, Odkaz, Získaný klíč, Startup, Credit, LOL, Welcome, Trojský kůň, Hrozba, ETA, Yahoo Finance, VeriSign, Červ, Wells Fargo, Fargo, Nebezpečný odkaz


Určitě si přečtěte

Co je TikTok: Svérázná sociální síť chytla mladé uživatele, už jich má už 1,5 miliardy

Co je TikTok: Svérázná sociální síť chytla mladé uživatele, už jich má už 1,5 miliardy

** Sociální síť TikTok získala stamiliony uživatelů a stále roste ** Jaký obsah na ní najdete a co můžete v jejím rámci čekat? ** Je to zábava pro mladé, nebo platforma pro úchyláky?

Karel Kilián | 38

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35

Windows 10X už si můžete vyzkoušet. Novému systému Microsoft zjevně věří

Windows 10X už si můžete vyzkoušet. Novému systému Microsoft zjevně věří

** Windows 10X přijdou již ke konci roku ** Microsoft vydal emulátor, kde systém ukázal ** Vývojáři musí upravit své aplikace

Vladislav Kluska | 57

Výkon herního počítače za 139 Kč nebo i úplně zadarmo. Geforce Now startuje!

Výkon herního počítače za 139 Kč nebo i úplně zadarmo. Geforce Now startuje!

** Dlouhý betatest končí a nyní všichni mohou hrát přes internet ** Nemusíte žádné hry kupovat znovu. Jede to, co už máte v knihovnách na Steamu, Uplay, Battle.net a jinde ** Roční náklady odpovídají ceně jedné běžné hry

Tomáš Holčík | 66



Aktuální číslo časopisu Computer

Megatest 12 bezdrátových sluchátek

Vyplatí se Apple z bazaru?

Test batohů pro notebooky

Vybíráme nejlepší sportovní hodinky