Versions d'essai gratuites piur particulliers
 Versions d'essai gratuites pour enterprise

Le ver Bizex s'en prend aux utilisateurs de ICQ

25 févr. 2004
Actualités Virus

Kaspersky Labs signale la découverte de Bizex, un nouveau ver de réseau à l'origine de la première épidémie mondiale touchant les utilisateurs du programme de messagerie instantanée ICQ. On signale d'ores et déjà des infections presque dans le monde entier. Selon les premières estimations, le nombre d'ordinateurs infectés atteindrait les 50 milles unités.

L'infection se produit lorsque l'utilisateur visite un site de pirates informatiques après avoir reçu une invitation via ICQ.

bizexscreenshot

Afin de dissimuler la véritable raison d'être du site, une vidéo de ' Joe Cartoon ', un célèbre auteur américain de dessins animés, est proposée au visiteur. Pendant ce temps, le programme en profite pour attaquer l'ordinateur à deux niveaux. Tout d'abord, il exploite une faille dans la sécurité de Internet Explorer. Ensuite, il exploite une faille dans la sécurité de Windows. Un fichier spécial est ainsi téléchargé sur l'ordinateur à l'insu de l'utilisateur. Ce fichier ' appelle ' à son tour Bizex (APTGETUPD.EXE) depuis un n?ud Internet distant et l'exécute.

Bizex peut commencer alors à infecter l'ordinateur. Il commence par créer le répertoire SYSMON dans le répertoire système de Windows, y place une de ses copies sous le nom de SYSMON.EXE et enregistre ce fichier dans la clé du registre Windows qui gère les démarrages automatiques. Ainsi, le ver sera chargé dans la mémoire de l'ordinateur à chaque démarrage du système d'exploitation.

Une fois cette étape accomplie, Bizex passe à l'étape de la propagation via ICQ. Le ver extrait de lui-même quelques bibliothèques système qui lui permettront de fonctionner avec ce programme de messagerie instantanée et les installe dans le répertoire système de Windows. Ces bibliothèques permettent à Bizex d'accéder à la liste des contacts ICQ, de mettre fin à la session ICQ en cours et d'en ouvrir une nouvelle indépendamment au nom de l'utilisateur de l'ordinateur infecté et d'envoyer à tous les membres de la liste de contact le message reprenant le lien vers le site mentionné ci-dessus. Il convient de remarquer que le ver attaque uniquement les clients ICQ originaux (à l'exception de Web ICQ). Les versions alternatives comme Miranda ou Trillian sont épargnées pour l'instant.

Bizex s'accompagne d'effets secondaires dangereux comme la fuite d'informations confidentielles. Ainsi, le ver analyse l'ordinateur infecté, recueille toutes les données relatives à des systèmes de paiement en ligne et les envoie discrètement vers un serveur distant anonyme. Les systèmes concernés sont:

  • Wells Fargo
  • American Express UK
  • Barclaycard
  • Credit Lyonnais
  • Bred.fr
  • Lloyds
  • E-gold

De plus, Bizex intercepte les informations transmises via le protocole HTTPS (un protocole sécurisé pour le transfert des données utilisé notamment pour les transactions à caractère financier) ainsi que les données d'accès à divers services de courrier électronique (Yahoo Mail par exemple). Toutes ces données sont envoyées également vers un serveur anonyme.

Selon Eugène Kaspersky, Directeur de la recherche antivirus pour Kaspersky Labs : "Il s'agit ici clairement d'une tentative de gagner de l'argent : l'originalité de la méthode de filtration et l'attaque ciblée sur des personnes non averties à l'aide d'un tel arsenal de fonctions d'espionnage ont plus que probablement été très rentables pour l'auteur du ver. Et ce, malgré la fermeture du site 4 heures seulement après le début de l'épidémie. Nous tenons toutefois à rappeler aux utilisateurs qu'il convient d'être prudent par rapport aux sites douteux et que les correctifs pour Internet Explorer et Windows devraient être installés le plus rapidement possible."

La protection contre tous les composants malveillants de ' Bizex ' a été ajoutée à la base de données de KasperskyR Anti-Virus.

Vous trouverez de plus amples informations en anglais sur ce code malicieux dans L'Encyclopédie des virus de Kaspersky.

  PARTAGER