Neuer Wurm Bizex greift ICQ-Anwender an

Zur Maskierung beim Betrachten der WebSite wird dem Anwender der Inhalt der WebSite "Joe Cartoon" (Autor der bekannten amerikanischen Zeichentrickfilme) vorgeführt. Unterdessen attackiert der Wurm den Computer auf 2 Arten. Zunächst benutzt sie eine Schwachstelle im Internet Explorer. Als zweites benutzt sie eine Schwachstelle in Windows. Im Ergebnis wird für den Anwedner unbemerkt eine spezielle Datei auf den Computer geladen, die von einer entfernten Netz-Schnittstelle die Trägerdatei "Bizex" (APTGETUPD.EXE) herunterlädt und sie ausführt.

Danach beginnt Bizex mit Infizierung des Computers. Hierzu erstellt er das Verzeichnis SYSMON im System-Verzeichnis von Windows, kopiert sich unter dem Namen SYSMON.EXE hinein und registriert die Datei im "autoexe" System-Verzeichnis. Somit wird der Wurm bei jedem Starten des Betriebssystems in den Speicher des Computers geladen.

Nach diesem Prozess beginnt Bizex die weitere Verbreitung über ICQ. Der Wurm greift auf System-Bibliotheken zu und installiert sie im System-Verzeichnis von Windows. Dadurch erhält Bizex Zugang zur Liste mit ICQ-Kontaktadressen, stellt den aktiven ICQ ab und erstellt eine alternative Verbindung mit dem Server unter der Adresse des infizierten Computers, um an alle gefundenen Adressen Links auf die Hacker WebSite zu versenden. Dabei ist zu beachten, dass der Wurm nur original ICQ-Clients attackiert (ausgenommen Web ICQ), wohingegen alternative Messanger wie Miranda oder Trillian gegen den Wurm immun sind.

Bizex enthält darüberhinaus eine Reihe gefährlicher "Nebeneffekte", die zum Verlust verraulicher Informationen führen können. Der Wurm scannt den infizierten Computer, sammelt Daten über installierte Zahlungssysteme und versendet diese unbemerkt an einen anonymen Server.

Der Wurm fängt auch Informationen ab, die vom Computer über HTTPS (geschütztes Protokoll, das u.a. für Finanztransaktionen verwendet wird) übertragen werden sowie Codes zum Zugang zu verschiedenen eMail-Systemen (z.B. Yahoo Mail). Hier gesammelte Daten werden ebenfalls an einen anonymen Server verschickt.

"In diesem Falle haben wir es mit einer originellen Penetrations-Methode, einer Attacke auf ein ansonsten stabiles System und den Einsatz einer Reihe von Spy-Funktionen gleichzeitig zu tun. Dies hat dem Wurm-Schreiber gewiss Nutzen eingebracht, obwohl die SchadensSite bereits 4 Stunden nach ihrem Erscheinen geschlossen wurde", so Eugene Kaspersky, Leiter der Anti-Virenforschung bei Kaspersky Labs. "Gleichzeit warnen wir Internet-Surfer vor einem Öffnen verdächtiger Sites und empfehlen ein sofortiges Herunterladen der Upadates für Internet Explorer und Windows."