"Лаборатория Касперского" распространила уточненную информацию об обнаруженном сегодня ICQ-черве под названием Bizex. В компании подчеркивают, что на данный момент сообщения о случаях заражения червем поступают практически из всех стран мира. По предварительным оценкам, количество зараженных компьютеров составляет примерно 50 тысяч.

Напомним, что в результате атаки червя на компьютер жертвы приходит ICQ-сообщение, со ссылкой на якобы развлекательный сайт jokewоrld.biz. Для маскировки на сайте пользователю демонстрируется Flash-мультик из сериала Joecartoon. Одновременно с этим в систему с сайта незаметно проникает написанный на Java вирус. Вредоносная программа атакует компьютер сразу с двух направлений, используя дыры в браузере Internet Explorer и в операционной системе Windows. В результате, на компьютер незаметно для пользователя загружается специальный файл, который загружает с удаленного веб-узла непосредственно файл-носитель Bizex (APTGETUPD.EXE) и запускает его на выполнение.

После этого вирус создает папку SYSMON в системном каталоге Windows, копирует себя в нее под именем SYSMON.EXE, регистрируя этот файл в ключе автозапуска системного реестра. По завершении этого процесса "Bizex" начинает процедуру дальнейшего распространения по ICQ. Червь извлекает из себя несколько системных библиотек для работы с этим интернет-пейджером и устанавливает их в системный каталог Windows. С их помощью Bizex получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу от имени владельца зараженной машины и рассылает по всем найденным контактам ссылку на зараженный веб-сайт.

Как уже отмечалось ранее, червь атакует только оригинальные ICQ-клиенты (за исключением Web ICQ). Альтернативные пейджеры вроде Miranda и Trillian заражению не подвержены. В "Лаборатории Касперского" отмечают, что Bizex содержит ряд опасных побочных эффектов, которые могут привести к потере конфиденциальных данных. В частности, червь собирает сведения об установленных платежных системах и незаметно отсылает их на удаленный анонимный сервер. Помимо этого, червь перехватывает информацию, передаваемую с компьютера по протоколу HTTPS, а также пароли для доступа к почтовым системам (например, Yahoo Mail). Эти сведения также пересылаются на удаленный анонимный сервер.