|
Fizzer
Virus-Warnung
aufgrund grosser Verbreitung!
Name: W32.HLLW.Fizzer@mm
Alias: W32/Fizzer@MM [McAfee]
Win32.Fizzer [CA]
W32/Fizzer-A [Sophos]
WORM_FIZZER.A [Trend]
Fizzer [F-Secure]
Win32/Fizzer.A@mm [RAV]
I-Worm.Fizzer [KAV]
Art: Wurm
Groesse des Anhangs: variabel
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmail
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmail
Trojanisches Pferd
Keylogger
bekannt seit: 12. Mai 2003
Beschreibung:
W32.HLLW.Fizzer@mm ist ein Internetwurm, der sich per Massenmail verbreitet.
Dazu sendet er sich mit seiner eigenen SMTP-Engine
an alle Eintraege des Windows-Adressbuchs. Ausserdem sendet er sich
an zufaellige E-Mail-Adressen von den Domaenen:
msn.com / hotmail.com / yahoo.com / aol.com / earthlink.net / gte.net
/ juno.com / netzero.com
Die Absenderadresse
der E-Mail wird gefaelscht.
Die Betreffzeile ist variabel.
Der Nachrichtentext wird aus einer Liste von Moeglichkeiten
gewaehlt.
Der Name der angehaengten Datei wird variabel erzeugt.
Diese Datei hat zwei Erweiterungen. Die echte Erweiterung ist EXE, COM,
PIF oder SCR. Diese wird u.U. nicht angezeigt. Statt dessen wird INI
angezeigt. Beispiel:
<Name>.INI.EXE
W32.HLLW.Fizzer@mm
erzeugt im Windowsverzeichnis die Dateien:
initbak.dat / iservc.dll / iservc.exe / ProgOp.exe
Der Wurm
wird durch Eintraege in der Windows-Registry aktiviert. Er enthaelt
eine sog. Backdoor-Komponente, die ueber den Chat-Kanal mIRC mit dem
Angreifer kommuniziert. Ebenso nutzt er die Tauschboerse KaZaA zur Verbreitung.
Nach Angaben von Anti-Virus-Herstellern enthaelt der Wurm ausserdem
einen Keylogger, der Tastatureingaben protokolliert. Wie einige Internetwuermer
vorher, beendet auch Fizzer die Dienste verschiedener
Anti-Viren-Produkte!
Info from:
BSI - Bundesamt
fuer Sicherheit in der Informationstechnik, Bonn
|
