Wurm "Bizex" kommt über ICQ

Unter dem Namen "Bizex" haben die Antivirenspezialisten einen neuen Wurm ausgemacht, der sich über den Instant-Messaging-Dienst ICQ verbreitet.

W.32.Bizex weist die Benutzer von ICQ auf eine Webseite hin, bei deren Besuch der Wurm geladen wird. Zur Tarnung wird der Inhalt der Webseite "Joe Cartoon" abgespielt. Unterdessen infiziert Bizex das System. Dabei nutzt er laut Kaspersky Labs eine Schwachstelle im Internet Explorer und eine weitere im Betriebssystem Windows aus. Bizex lädt dabei über diverse Umwege die Datei APTGETUPD.EXE nach und führt sie aus. Zudem versucht der Wurm ein Java-Archiv herunterzuladen, das weitere Download-Programme für Trojaner enthält. Die Webseite (jokeworld), zu der sich der Wurm verbindet, ist allerdings bereits geschlossen worden.

Bizex: Wer als ICQ-Anwender dem Link auf die vermeintich lustige Seite folgt, hat anschließend nichts zu Lachen. Quelle: Kaspersky Labs

Bei der Infektion kopiert sich Bizex in das Verzeichnis SYSMON im Systemverzeichnis von Windows als SYSMON.EXE und registriert die Datei im Autostart-Verzeichnis ([HKLM\Software\Microsoft\Windows\CurrentVersion\Run]"sysmon" =.system%\sysmon\sysmon.exe). Zur Verbreitung über ICQ hat Bizex eigene Bibliotheken dabei, die ihm Zugang zu den Kontaktadressen des Messaging-Clients ermöglichen. Bizex trennt die bestehende Verbindung von ICQ und erstellt eine eigene unter der Adresse des infizierten PCs. Darüber verschickt er die Links zur Hacker-Webseite. Laut Kaspersky Labs sind nur originäre ICQ-Clients betroffen. Alternative Clients wie Trillian oder Miranda sind gegen den Schädling immun.

Weitere Schadensfunktionen des Wurms: Er scannt den Rechner nach den Zahlungssystemen unter anderem von Wells. (uba)