Para ver mas detalles, haz click en Leer mas...

Una computadora puede infectarse si el usuario visita el sitio Web de un pirata informático. Las invitaciones para visitar este sitio están circulando por el ICQ.

Como disfraz, el sitio Web simula ser el de un famoso personaje, Joe Cartoon, creador de una popular tira cómica norteamericana.

Mientras el usuario navega por este sitio, un programa malicioso ataca la computadora por dos frentes: primero, utilizando un agujero en el Internet Explorer (que corrige el parche MS02-047 de Microsoft), y segundo, a través de una vulnerabilidad en el propio Windows (boletín MS03-011).

Como resultado, un archivo es descargado en la máquina del usuario, sin ninguna clase de advertencia. Este código descarga el siguiente archivo, que contiene al gusano Bizex propiamente dicho, el cuál se ejecuta en la computadora de la víctima.

Bizex comienza su proceso de infección, creando una carpeta llamada SYSMON en el directorio System de Windows. Luego se copia allí con el nombre de SYSMON.EXE. También modifica el registro para auto ejecutarse en cada reinicio del sistema operativo.

Luego de ello, Bizex comienza a propagarse utilizando el ICQ. El gusano extrae varias librerías usadas por esta aplicación, y las utiliza para acceder a la lista de contactos del programa, desconectar al cliente activo del ICQ, y establecer una nueva conexión al servidor suplantando al usuario infectado. De ese modo envía, como si fuera el propio usuario, el enlace al sitio malicioso mencionado antes, a toda su lista de contactos.

El gusano solo ataca al ICQ original. Los mensajeros alternativos, como Miranda y Trillian, son inmunes.

Bizex ejecuta varias rutinas, todas ellas peligrosas, capaces de obtener información confidencial.

Específicamente, el gusano examina la computadora infectada, y recoge todos los datos relacionados con diferentes sistemas de pagos. Estos datos son enviados a un servidor remoto, sin que el usuario infectado se percate de nada extraño.

La lista incluye: Wells Fargo, American Express, UK Barclaycard Credit, Lyonnais Bred.fr, Lloyds E-gold, y otros.

El gusano también intercepta las comunicaciones que se realicen por protocolos encriptados (como HTTPS:), utilizados generalmente para el intercambio de información sobre transacciones financieras. Además, puede interceptar completamente algunos sistemas de correo electrónico, como Yahoo. Toda esta información es enviada a un servidor remoto.

"Vemos esto como una tentativa a cara descubierta para hacer dinero. El método relativamente nuevo usado para su penetración, el hecho que ICQ no ha sido utilizado antes para tal ataque, y la gran variedad de funciones de spyware, es una combinación que seguro cosechará grandes ganancias al autor de Bizex, a pesar del hecho que el sitio fue clausurado cuatro horas después del comienzo del ataque", dijo Eugene Kaspersky, de Kaspersky Labs. "Los usuarios deben ser muy cautelosos a la hora de visitar sitios sospechosos, y deben instalar de inmediato las actualizaciones para el Internet Explorer y Windows".

Las vulnerabilidades de las que se vale el gusano, fueron detectadas en 2002 y 2003 respectivamente, existiendo desde ese entonces parches para las mismas.