A fertőzés akkor történik meg, ha a
felhasználó meglátogat egy preparált hacker weblapot, aminek megnézésére a
meghívást ICQ-n kapja. A weblap álcázott, a látogató a Joe Cartoon a népszerű
amerikai képregény-figura weblapját látja. Ugyanakkor a számítógépet a
rosszindulatú program két úton támadja: az első esetben egy ismert Internet
Explorer hibát próbál kihasználni, míg más esetben egy ismert Windows hibát. Az
eredmény ugyanaz, a gépre jut a felhasználó tudta nélkül egy
"különleges" állomány, ami a Bizex nevű férget tartalmazza. A Bizex a
gépre jutáskor azonnal feltelepül, és megkezdi "nem kívánt feladatát"
végrehajtani.
A fertőzés az áldozat gépén a következő
folyamatban zajlik:
A Bizex alkot egy SYSMON nevű
könyvtárat a Windows system directoryban, majd, mint SYSMON.EXE bemásolja ide
magát. Ezután regisztrálja magát a rendszerleíró adatbázis auto-run kulcsba. Így
a féreg minden alkalommal betöltődik a memóriába, ha a gép elindul.
Ha mindez sikeres volt, akkor a féreg
azonnal az ICQ -t keresi meg, és terjeszti azon magát. A féreg összegyűjt olyan
system adatokat, amit az ICQ használ, a programban van, és elhelyezi ezeket a
Windows system directoryban. Ezen adatok segítségével a Bizex hozzájut az ICQ
un. kontakt listájához, aktív kapcsolatokat bont szét, ill. újat hoz létre a
tulajdonos nevében több ICQ klienssel, és egy szerverrel a fertőzött gép.
Elküldi a tulajdonos nevében a fertőzött
weblap linkjét minden aktív kapcsolatnak. A Kaspersky Lab's kutatói megjegyzik,
hogy csak valódi ICQ programot fertőz, de érdekes módon az ICQ weblapját
"sértetlenül" hagyja. Az alternatív rendszereket (Mirinda, Trillian)
nem fertőzi. A Bizex számos veszélyes funkcióra képes, igen széles és
"ártó a fegyvertára": kémkedik, és begyűjti a bizalmas információkat
mindenről, amit megtalál, de elsősorban a pénzügyi vonatkozású információkat
keresi: banki tranzakciók adatai, hitelkártya-számok stb. és a felhasználó
tudta nélkül továbbítja ezeket az információkat az említett szerverre. Amit elsősorban
keres:
*
Wells Fargo
* American Express UK
* Barclaycard
* Credit Lyonnais
* Bred.fr
* Lloyds
*
E-gold
Ezen túl átvizsgálja az összes HTTPS
(encrypted communications protocol) log fájt mert az üzleti tranzakciók
általában titkosított HTTPS protokollon cserélődnek.
"Ez olyan, mint egy láthatatlan
arcú ember pénzszerzési kísérlete a behatolás, a fertőzés új módszerével. Tény,
hogy az ICQ - t nem használták még fel ilyen kiterjedt fertőzésre -támadásra.
Újdonság a vírus is, mert ellentétben az ismert, eddigi ICQ vírusokkal szemben
számtalan funkciója van: kém funkció stb. Ez természetesen hatalmas hasznot hozhatott
a Bizex" írójának, de az inkriminált weblapot négy órával a vírus kitörése
után lezárták." - mondta Eugene Kaspersky, Head of Anti-Virus Research at
Kaspersky Labs.
"A felhasználóknak ezek után még
óvatosabban kell böngészni, kikerülni a gyanús lapokat - és folyamatosan
frissíteni védelmi rendszerüket, és operációs rendszerüket".
Igen: ICQ férget ismerünk, de eddig ez
az első példa, amikor világmérető fertőzés alakul ki, és a féreg oly összetett
funkciókkal rendelkezik, amik alkalmasak a kutatásra, a célzott kutatásra, az
üzleti kapcsolatok feltárására, és minden olyan adat megszerzésére, ami hasznot
hoz írójának.