Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

O Fizzer é um worm da Internet que se espalha através de mensagens de e-mail e diretórios compartilhados do KaZaa. Ele também contém recursos de acesso remoto "backdoor".

Instalação

Quando o worm é iniciado, ele cria os seguintes arquivos no diretório do Windows:

iservc.exe (cópia do worm) initbak.dat (cópia do worm) ProgOp.exe (componente do worm) iservc.dll (biblioteca do keylogger usada pelo worm) iservc.klg (contém dados de pressionamento de tecla registrados)

O worm também grava uma chave de registro para iniciar automaticamente quando o Windows é iniciado:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemInit = (caminho do diretório do Windows) iservc.exe

No Windows NT / 2000 / XP, o worm pode criar um serviço do sistema, mas essa habilidade é desabilitada pelo autor.

Ele também é registrado como um manipulador padrão para arquivos com a extensão ".TXT" – resultando na execução do worm quando esses arquivos são abertos.

Replicação: KaZaa

O worm se copia para o diretório de download do KaZaa com nomes de arquivos aleatórios.

Replicação: E-mail

O worm usa seu próprio mecanismo SMTP para enviar suas cópias. Os endereços de email de destino são gerados aleatoriamente ou extraídos dos catálogos de endereços do Outlook e do Windows.

As mensagens infectadas têm vários assuntos, corpos e nomes de anexos selecionados. Eles são gerados a partir de várias listas de strings grandes. Por exemplo:

Assunto: Re:; (Attachment: desktop.exe Body: você não deve mostrar isso para ninguém … Assunto: Re: Eu acho que você pode achar isso divertido … Anexo: Logan6.exe Body: Deixe-me saber o que você pensa deste … Assunto: Fwd: por quê? Attachment: Taylor83.com Corpo: Hoje é um bom dia para morrer …

Rotina backdoor: IRC

O worm contém uma lista de canais de IRC aos quais ele tenta se conectar para receber comandos de acesso remoto de um invasor.

Rotina Backdoor: Outro

O worm inicia os servidores HTTP e telnet e os vincula a portas pré-configuradas para fornecer acesso remoto ao computador.

De outros

O worm captura todas as teclas digitadas e as grava no arquivo chamado "iservc.klg" no diretório do Windows. Ele também tenta baixar e instalar sua versão atualizada a partir de uma página de usuário geocities. O worm tenta finalizar processos que contêm as seguintes strings em seus nomes:

ANTIV AVP F-PROT NAV NMAIN SCAN TASKM VÍRUS VSHW VSS

A maioria das opções, como nomes de chaves de registro, nomes de servidores de IRC e SMTP, números de porta e seqüências de ação são pré-configurados em um arquivo de dados especial que é criptografado e armazenado nos recursos do arquivo EXE do worm.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos O Fizzer é um worm da Internet que se espalha através de mensagens de e-mail e diretórios compartilhados do KaZaa. Ele também contém recursos de acesso remoto "backdoor". Instalação Quando o worm é iniciado, ele cria os seguintes arquivos no diretório do Windows: iservc.exe (cópia do worm) initbak.dat (cópia do worm) ProgOp.exe (componente do worm) iservc.dll (biblioteca do keylogger usada pelo worm) iservc.klg (contém dados de pressionamento de tecla registrados) O worm também grava uma chave de registro para iniciar automaticamente quando o Windows é iniciado: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemInit = (caminho do diretório do Windows) iservc.exe No Windows NT / 2000 / XP, o worm pode criar um serviço do sistema, mas essa habilidade é desabilitada pelo autor. Ele também é registrado como um manipulador padrão para arquivos com a extensão ".TXT" – resultando na execução do worm quando esses arquivos são abertos. Replicação: KaZaa O worm se copia para o diretório de download do KaZaa com nomes de arquivos aleatórios. Replicação: E-mail O worm usa seu próprio mecanismo SMTP para enviar suas cópias. Os endereços de email de destino são gerados aleatoriamente ou extraídos dos catálogos de endereços do Outlook e do Windows. As mensagens infectadas têm vários assuntos, corpos e nomes de anexos selecionados. Eles são gerados a partir de várias listas de strings grandes. Por exemplo: Assunto: Re:; (Attachment: desktop.exe Body: você não deve mostrar isso para ninguém … Assunto: Re: Eu acho que você pode achar isso divertido … Anexo: Logan6.exe Body: Deixe-me saber o que você pensa deste … Assunto: Fwd: por quê? Attachment: Taylor83.com Corpo: Hoje é um bom dia para morrer … Rotina backdoor: IRC O worm contém uma lista de canais de IRC aos quais ele tenta se conectar para receber comandos de acesso remoto de um invasor. Rotina Backdoor: Outro O worm inicia os servidores HTTP e telnet e os vincula a portas pré-configuradas para fornecer acesso remoto ao computador. De outros O worm captura todas as teclas digitadas e as grava no arquivo chamado "iservc.klg" no diretório do Windows. Ele também tenta baixar e instalar sua versão atualizada a partir de uma página de usuário geocities. O worm tenta finalizar processos que contêm as seguintes strings em seus nomes: ANTIV AVP F-PROT NAV NMAIN SCAN TASKM VÍRUS VSHW VSS A maioria das opções, como nomes de chaves de registro, nomes de servidores de IRC e SMTP, números de porta e seqüências de ação são pré-configurados em um arquivo de dados especial que é criptografado e armazenado nos recursos do arquivo EXE do worm.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Email-Worm.Win32.Fizzer