Извращения с тетей Асей

Роман Куберов aka q_ber

Спецвыпуск: Хакер, номер #048, стр. 048-050-4

www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-047.asp - Уязвимость в ослике IE.

www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-011.asp - Очередная пробоина в операционке от Microsoft’а

В результате этих действий на компьютер без уведомления пользователя загружается специальный файл, который "докачивает" непосредственно файл-носитель Bizex (APTGETUPD.EXE) и запускает его на выполнение. После этого Bizex начинает процедуру заражения компьютера. Для этого он создает папку SYSMON в системном каталоге Windows, копирует себя в нее под именем SYSMON.EXE и прописывается в реестре:

(HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run)

Таким образом, вирус обеспечивает себе автоматический запуск при каждой загрузке операционной системы.

По завершении этого процесса Bizex начинает процедуру дальнейшего распространения по ICQ. Червь извлекает из себя несколько системных библиотек для работы с этим интернет-пейджером и устанавливает их в системный каталог Windows. С их помощью Bizex получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу от имени владельца зараженной машины и от его имени рассылает по всем найденным контактам ссылку на указанный выше веб-сайт. Важно отметить, что червь атакует только оригинальные ICQ-клиенты (за исключением ICQ2Go), в то время как альтернативные пейджеры (Miranda, Trillian) не поддаются атаке. Кроме того, Bizex успешно воровал конфиденциальную информацию с зараженных компьютеров: собирал информацию об установленных платежных системах, перехватывал данные, передаваемые с компьютера по протоколу HTTPS.

Ты спросишь: «Как червь от моего имени может рассылать сообщения?» Давай попробуем разобраться. В сети можно найти такую библиотеку – ICQAPI.dll. Она содержит в себе набор необходимых функций для работы с «аськой». Именно ее червь скачивает и устанавливает на компьютер для дальнейшего своего распространения.

Иначе говоря, ICQ API - набор функций, содержащийся в DLL. API позволяет асинхронизирвать процессы запроса данных от ICQ-клиента, выполнения первоначальных действий в клиенте и получения сообщения от клиента. Чтобы использовать API, приложение должно в начале вызвать один раз функцию ICQAPICALL_SETLICENSEKEY. Только после этого возможен вызов остальных функций. ICQ API состоит содержит вызовы и сообщений (уведомлений). Все вызовы синхронизированы с блокировкой по времени в 1 секунду (timeout) таким образом, что если ICQ клиент не ответил за 1 секунду, то запрос расценивается как невыполненный. Каждый запрос возвращает булево значение - FALSE или TRUE в зависимости от его невыполнения/выполнения соответственно. Сообщения отсылаются от ICQ-клиента и они тоже синхронизированы с блокировкой по времени в 1 секунду: если приложение не ответило за это время, то сообщение не отослано и приложение больше никаких сообщений не получит.