Nový červ, využívající chyby v ICQ a IE !!!

Pravděpodobně během včerejška se začal šířit zcela nový typ červa, který využívá bezpečnostní díry v aplikaci Internet Explorer a ICQ ! Nakazit se je jednoduché a napáchané škody mohou být veliké!









 


Červ rozesílá přes komunikační program ICQ zprávy s obsahem http://www.jokeworld… :-)) LOL (kus adresy byl záměrně vynechán). Po kliknutí na uvedený odkaz (a byl jsem svědkem, že stačí mít místo ICQ Mirandu a ten odkaz jen zaktivovat dotykem myši – bez klikání!!!) dojde k otevření okna internetového prohlížeče. Pokud je používán Internet Explorer, pak se otevře okno IE. Ač stránka působí velice mírumilovně (animace v Macromedia Flash v „hratelné“ podobě), je tato animace volána odjinud za pomocí tagu IFRAME. Hlavní činností je totiž aktivace škodlivého skriptu přímo v HTML stránce. Ten díky bezpečnostní díře ve funkci showHelp() nakonec spustí vzdálený soubor iefucker.html (který byl propašován přes jinou bezpečnostní díru v ICQ – přes soubor program filesICQSoundsmeineStartup.wav) za využití lokálního souboru nápovědy (.CHM).


Soubor iefucker.html poslouží jako TrojanDropper, tedy „vypouštěč“, konkrétně souboru WinUpdate.exe, který umístí do adresáře:

C:Documents and SettingsAll UsersStart MenuProgramsStartup nebo
C:WindowsStart MenuProgramsStartup


Program WinUpdate.exe se stará o další rozesílání zpráv „www.jokeworld… :-)) LOL“ na kontakty uvedené v ICQ a celý proces se tak opakuje.


Mezi další činnosti červa patří:

  • Stažení souboru NOCHEAT.JAR (opět z jiného serveru), obsahující celou „sadu“ škodlivých TrojanDownloaderů.
  • Stažení nového zvukového schémata do aplikace ICQ (jen do „full“ verze). Tento proces obsahuje na straně ICQ taktéž bezpečnostní díru, která umožní místo zvukového WAV souboru podstrčit program, který lze nakonec bez vědomí uživatele spustit. V případě tohoto červa se tak tomuto děje u souboru Startup.wav, který neobsahuje žádný zvukový záznam. Perličkou je, že se o této chybě ví již minimálně od července 2002 a stále není opravena !!!
  • Vypouštění souboru windows system(32) sysmon sysmon.exe a dalších do systémového adresáře Windows: java32.dll, javaext.dll, icq_socket.dll, ICQ2003Decrypt.dll.
    Sysmon se stará o vykrádání celé řady informací, které zasílá přes FTP na server www.ustrading.info.


    Způsob léčení: v nouzovém režimu Windows (návod je uveden skoro dole) odmazat alespoň soubory WinUpdate.exe a sysmon.exe.

    Nalezeno na viry.cz

  • Napsat komentář

    Vaše e-mailová adresa nebude zveřejněna.

    Next Post

    Veřejné vyhlášky

    Čt Úno 26 , 2004
    Veřejné vyhlášky městského úřadu Humpolec.

    Témata