ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Fizzer

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

O Fizzer é um worm da Internet que se espalha através de mensagens de e-mail e diretórios compartilhados do KaZaa. Ele também contém recursos de acesso remoto "backdoor".

Instalação

Quando o worm é iniciado, ele cria os seguintes arquivos no diretório do Windows:

iservc.exe (cópia do worm) initbak.dat (cópia do worm) ProgOp.exe (componente do worm) iservc.dll (biblioteca do keylogger usada pelo worm) iservc.klg (contém dados de pressionamento de tecla registrados)

O worm também grava uma chave de registro para iniciar automaticamente quando o Windows é iniciado:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemInit = (caminho do diretório do Windows) iservc.exe

No Windows NT / 2000 / XP, o worm pode criar um serviço do sistema, mas essa habilidade é desabilitada pelo autor.

Ele também é registrado como um manipulador padrão para arquivos com a extensão ".TXT" – resultando na execução do worm quando esses arquivos são abertos.

Replicação: KaZaa

O worm se copia para o diretório de download do KaZaa com nomes de arquivos aleatórios.

Replicação: E-mail

O worm usa seu próprio mecanismo SMTP para enviar suas cópias. Os endereços de email de destino são gerados aleatoriamente ou extraídos dos catálogos de endereços do Outlook e do Windows.

As mensagens infectadas têm vários assuntos, corpos e nomes de anexos selecionados. Eles são gerados a partir de várias listas de strings grandes. Por exemplo:

Assunto: Re:; (Attachment: desktop.exe Body: você não deve mostrar isso para ninguém … Assunto: Re: Eu acho que você pode achar isso divertido … Anexo: Logan6.exe Body: Deixe-me saber o que você pensa deste … Assunto: Fwd: por quê? Attachment: Taylor83.com Corpo: Hoje é um bom dia para morrer …

Rotina backdoor: IRC

O worm contém uma lista de canais de IRC aos quais ele tenta se conectar para receber comandos de acesso remoto de um invasor.

Rotina Backdoor: Outro

O worm inicia os servidores HTTP e telnet e os vincula a portas pré-configuradas para fornecer acesso remoto ao computador.

De outros

O worm captura todas as teclas digitadas e as grava no arquivo chamado "iservc.klg" no diretório do Windows. Ele também tenta baixar e instalar sua versão atualizada a partir de uma página de usuário geocities. O worm tenta finalizar processos que contêm as seguintes strings em seus nomes:

ANTIV AVP F-PROT NAV NMAIN SCAN TASKM VÍRUS VSHW VSS

A maioria das opções, como nomes de chaves de registro, nomes de servidores de IRC e SMTP, números de porta e seqüências de ação são pré-configurados em um arquivo de dados especial que é criptografado e armazenado nos recursos do arquivo EXE do worm.


Link para o original