Червь "Bizex" атакует пользователей ICQ
Зарегистрирована первая глобальная эпидемия ICQ-червя

"Лаборатория Касперского" предупреждает об обнаружении нового
сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди
пользователей интернет-пейджера ICQ. На данный момент сообщения о
случаях заражения червем поступают практически из всех стран мира. По
предварительным оценкам количество зараженных компьютеров составляет
около 50 тысяч.

Заражение компьютера происходит при посещении хакерского веб-сайта,
приглашение на который доставляется по каналам ICQ.

Для маскировки при просмотре веб-сайта пользователю показывается
содержание интернет-представительства "Joe Cartoon" - автора популярных
американских мультсериалов. В это время вредоносная программа атакует
компьютер сразу по двум направлениям. Во-первых, используя брешь в
браузере Internet Explorer
(http://www.microsoft..../MS02-047.asp).
Во-вторых, через брешь в операционной системе Windows
(http://www.microsoft..../ms03-011.asp).
В результате на компьютер незаметно для пользователя загружается
специальный файл, который "дотаскивает" с удаленного веб-узла
непосредственно файл-носитель "Bizex" (APTGETUPD.EXE) и запускает его на
выполнение.

После этого "Bizex" начинает процедуру заражения компьютера. Для
этого он создает папку SYSMON в системном каталоге Windows, копирует
себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе
автозапуска системного реестра. Таким образом, червь обеспечивает свою
загрузку в память компьютера при каждом старте операционной системы.

По завершении этого процесса "Bizex" начинает процедуру дальнейшего
распространения по ICQ. Червь извлекает из себя несколько системных
библиотек для работы с этим интернет-пейджером и устанавливает их в
системный каталог Windows. С их помощью "Bizex" получает доступ к списку
контактов ICQ, отключает запущенный ICQ-клиент, осуществляет
самостоятельное подключение к серверу от имени владельца зараженной
машины и от его имени рассылает по всем найденным контактам ссылку на
указанный выше веб-сайт. Важно отметить, что червь атакует только
оригинальные ICQ клиенты (за исключением Web ICQ), в то время как
альтернативные пейджеры (Miranda, Trillian) обладают иммунитетом.

"Bizex" содержит ряд исключительно опасных побочных эффектов,
которые могут привести к утечке важных конфиденциальных данных. В
частности, червь сканирует зараженный компьютер, собирает сведения об
установленных платежных системах и незаметно отсылает их на удаленный
анонимный сервер. В число уязвимых систем попали: Wells Fargo American
Express UK Barclaycard Credit Lyonnais Bred.fr Lloyds E-gold

Помимо этого "Bizex" перехватывает информацию, передаваемую с
компьютера по протоколу HTTPS (защищенный протокол передачи данных,
который, в частности, используется для важных финансовых транзакций), а
также коды доступа к различным почтовым системам (например, Yahoo Mail).
Эти сведения также пересылаются на удаленный анонимный сервер.

Поделюсь своим опытом в "борьбе" с шифровальщиком keybtc@gmail_com:

Пригласили в небольшую фирмочку побороться с этой дрянью: они его по почте получили. Причём, что самое интересное, письмо пришло с адреса, похожего по написанию с известным адресом и директор ждал подобное письмо. Суть письма: какие-то счета на оплату, ну и +, естесственно, сам "счёт" - файл-архив, в нём файл с о-о-очень длинным названием, чтоб пользователь не видел какое расширение стоит у файла.
В фирмочке стандартный расклад: пять раб.станций + сервачок (w2k8)
Что имеет в себе сервак:
- терминалка на 5 пользователей;
- файлопомойка;
- стоит 1С на тех же 5 пользователей.

Директор сидел в терминале, открыл и запустил. Причём у него были админские права (какой оболтус давал - руки оторвать)
Вообщем, всё как по писанному: все документы за весь период работы накрылись. До 1С-ки не добрался, т.к. она в этот момент была в рабочем состоянии.

О бекапах админ, ставивший всё это хозяйство не думал.

После прочтения информации по этому вирусу (это даже не вирус, а программа-шифратор и потому не распознаётся антивирусом), написал письмо на [email protected]. В течении 5 минут пришёл ответ от робота с присвоением номера тикета "Спасибо за правильное обращение по расшифровке файлов" и т.д.
Робот предложил выслать три офисных файла на предмет тест-расшифровки, кроме таблиц Excel.
В ответном послании, вместе с расшифрованным файлом (отправил только один) пришло и указание суммы в BTC за высылку дешифратора с подробной инструкцией. Вообщем, парни заплатили (сумма оказалась подъёмной < 10 000 р.) и им всё выслали. История для пользователей на этом завершилась и началась история для админов)))