RedDiamonds Dream Board

[Zaubi]

W32/Bizex-A ist ein Wurm, der sich über ICQ verbreitet.

Der Wurm tritt als ICQ-Meldung auf, in der der Anwender aufgefordert wird, eine Website zu besuchen, die auf w w w. jokeworld. com (absichtlich geändert) gehostet wird. Die Website lädt eine Datei als startup.wav auf den Computer des Anwenders herunter und startet diese Datei.
Startup.wav enthält ein Skript, das die Datei WinUpdate.exe im Autostart-Ordner erzeugt. Wenn Windows das nächste Mal gestartet wird, versucht WinUpdate.exe, eine Datei namens updater.exe als aptgetupd.exe in den Windows-Temp-Ordner herunterzuladen. Aptgetupd.exe ist die Hauptkomponente von W32/Bizex-A. Der Wurm kopiert sich als Datei namens sysmon.exe in den sysmon-Unterordner im Windows-Systemordner und fügt den folgenden Registrierungseintrag hinzu, so dass der Wurm bei jedem Start von Windows aktiviert wird:

Quelle und weitere Infos:
http://www.sophos.de/virusinfo/analyses/w32bizexa.html
_________________

Engel fliegen leise!

[Zaubi]

Bizex-Wurm verbreitet sich per ICQ und nutzt Sicherheitsleck


Wurm nutzt Sicherheitsleck im Internet Explorer und protokolliert Tasteneingaben

Wie Anbieter von Antiviren-Software berichten, verbreitet sich im Internet ein Wurm namens Bizex per ICQ und nutzt dazu eine Sicherheitslücke im Internet Explorer, die Microsoft bereits längere Zeit bekannt ist, bislang aber nicht geschlossen wurde. Auf befallenen Windows-Systemen protokolliert der Wurm eine Reihe von Tasteneingaben, um darüber an Bankdaten sowie Kennwörter zu gelangen und versendet sich an alle in ICQ gespeicherten Kontakte.

Der Bizex-Wurm nutzt für seine Verbreitung eine Sicherheitslücke in der Windows-Version des Internet Explorer, indem beim Aufruf des vom Wurm versendeten Link unbemerkt Daten auf den Rechner geladen werden. Das dafür verantwortliche Sicherheitsloch steckt in den Routinen zur Anzeige von Hilfeseiten, was auf Windows-Systemen der Internet Explorer abwickelt. Klickt ein potenzielles Opfer auf den vom Schädling versendeten Link, wird der Wurm in das System geschleust und verbreitet sich von dort weiter.

Für die Vermehrung versendet der Unhold an alle in ICQ enthaltenen Kontakte die URL "www.jokeworld.biz/index.html", um darüber weitere Systeme zu infizieren. Das klappt aber nur, wenn der Client von ICQ verwendet wird; alternative Clients wie Trillian oder Miranda können nicht für eine Verbreitung missbraucht werden. Durch die Nutzung der ICQ-Adressen mutmaßen Empfänger einer solchen Nachricht, die Daten stammen von einer vertrauenswürdigen Quelle, was sich der Wurm für seine Verbreitung zu Nutze macht. Wer unter Windows nicht den Internet Explorer als Standard-Browser verwendet, kann von dem Wurm nicht befallen werden, weil entsprechende ICQ-Links nicht in Microsofts Browser geöffnet werden.

Nachdem sich der Wurm im System eingenistet hat, protokolliert er zahlreiche Tasteneingaben, um so etwa Kreditkartendaten, Kontoverbindungen oder Passwörter auszuspähen und speichert diese auf dem System. Als Weiteres öffnet der Wurm auf einem befallenen System den TCP-Port 1534.

Hersteller von Antiviren-Software bieten bereits aktualisierte Singaturdateien zum Download an, um den Wurm zu erkennen und eine Infizierung zu verhindern.

Nachtrag vom 26. Februar 2004:
AOL hat als Betreiber des ICQ-Netzwerkes mittlerweile die weitere Verbreitung des Wurms unterbunden.

Quelle Golem:
http://www.golem.de/0402/29935.html
_________________

Engel fliegen leise!

[Zaubi]

Ich empfehle für Trillian die Seite www.trillian-messenger.de
Download der Trillian 0.74 mit Deutsch-Patch über diese URL:
http://www.trillian-messenger.de/download/index.php

winkeeee Zaubi
_________________

Engel fliegen leise!