Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Fizzer ist ein Internet-Wurm, der sich über E-Mail-Nachrichten und freigegebene KaZaa-Verzeichnisse verbreitet. Es enthält auch "Backdoor" Remote Access-Funktionen.

Installation

Wenn der Wurm gestartet wird, erstellt er die folgenden Dateien im Windows-Verzeichnis:

iservc.exe (Kopie des Wurms) initbak.dat (Kopie des Wurms) ProgOp.exe (Wurmkomponente) iservc.dll (vom Wurm verwendete Keylogger-Bibliothek) iservc.klg (enthält protokollierte Tastendruckdaten)

Der Wurm schreibt auch einen Registrierungsschlüssel, um sich automatisch zu starten, wenn Windows startet:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemInit = (Windows-Verzeichnispfad) iservc.exe

Unter Windows NT / 2000 / XP kann der Wurm einen Systemdienst erstellen, aber diese Fähigkeit wird vom Autor deaktiviert.

Es registriert sich auch als Standard-Handler für Dateien mit der Erweiterung ".TXT" – was dazu führt, dass der Wurm ausgeführt wird, wenn solche Dateien geöffnet werden.

Replikation: KaZaa

Der Wurm kopiert sich mit zufälligen Dateinamen in das KaZaa-Download-Verzeichnis.

Replikation: E-Mail

Der Wurm verwendet seine eigene SMTP-Engine, um seine Kopien zu senden. Die Ziel-E-Mail-Adressen werden zufällig generiert oder aus den Outlook- und Windows-Adressbüchern extrahiert.

Infizierte Nachrichten haben verschiedene ausgewählte Themen, Körper und Anhangsnamen. Sie werden aus mehreren großen String-Listen generiert. Beispielsweise:

Betreff: Re:; (Attachment: desktop.exe Body: du darfst das niemandem zeigen … Betreff: Re: Ich denke du findest das witzig … Attachment: Logan6.exe Body: Lass mich wissen was du denkst von diesem … Thema: Fwd: warum? Anlage: Taylor83.com Body: Heute ist ein guter Tag zu sterben …

Backdoor-Routine: IRC

Der Wurm enthält eine Liste der IRC-Kanäle, mit denen er sich verbinden will, um Remote-Zugriffsbefehle von einem Angreifer zu erhalten.

Backdoor-Routine: Andere

Der Wurm startet HTTP- und Telnet-ähnliche Server und bindet sie an vorkonfigurierte Ports, um Remotezugriff auf den Computer zu ermöglichen.

Andere

Der Wurm erfasst alle Tastenanschläge und schreibt sie in die Datei namens "iservc.klg" im Windows-Verzeichnis. Es versucht auch, seine aktualisierte Version von einer Geocities-Benutzerseite herunterzuladen und zu installieren. Der Wurm versucht, Prozesse zu beenden, die die folgenden Zeichenfolgen in ihren Namen enthalten:

ANTIV AVP F-PROT NAV NMAIN SCAN TASKM VIRUS VSHW VSS

Die meisten Optionen wie Registrierungsschlüsselnamen, IRC- und SMTP-Servernamen, Portnummern und Aktionssequenzen sind in einer speziellen Datendatei vorkonfiguriert, die verschlüsselt und in den Ressourcen der Wurm-EXE-Datei gespeichert ist.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Email-Worm
Plattform	Win32
Beschreibung	Technische Details Fizzer ist ein Internet-Wurm, der sich über E-Mail-Nachrichten und freigegebene KaZaa-Verzeichnisse verbreitet. Es enthält auch "Backdoor" Remote Access-Funktionen. Installation Wenn der Wurm gestartet wird, erstellt er die folgenden Dateien im Windows-Verzeichnis: iservc.exe (Kopie des Wurms) initbak.dat (Kopie des Wurms) ProgOp.exe (Wurmkomponente) iservc.dll (vom Wurm verwendete Keylogger-Bibliothek) iservc.klg (enthält protokollierte Tastendruckdaten) Der Wurm schreibt auch einen Registrierungsschlüssel, um sich automatisch zu starten, wenn Windows startet: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemInit = (Windows-Verzeichnispfad) iservc.exe Unter Windows NT / 2000 / XP kann der Wurm einen Systemdienst erstellen, aber diese Fähigkeit wird vom Autor deaktiviert. Es registriert sich auch als Standard-Handler für Dateien mit der Erweiterung ".TXT" – was dazu führt, dass der Wurm ausgeführt wird, wenn solche Dateien geöffnet werden. Replikation: KaZaa Der Wurm kopiert sich mit zufälligen Dateinamen in das KaZaa-Download-Verzeichnis. Replikation: E-Mail Der Wurm verwendet seine eigene SMTP-Engine, um seine Kopien zu senden. Die Ziel-E-Mail-Adressen werden zufällig generiert oder aus den Outlook- und Windows-Adressbüchern extrahiert. Infizierte Nachrichten haben verschiedene ausgewählte Themen, Körper und Anhangsnamen. Sie werden aus mehreren großen String-Listen generiert. Beispielsweise: Betreff: Re:; (Attachment: desktop.exe Body: du darfst das niemandem zeigen … Betreff: Re: Ich denke du findest das witzig … Attachment: Logan6.exe Body: Lass mich wissen was du denkst von diesem … Thema: Fwd: warum? Anlage: Taylor83.com Body: Heute ist ein guter Tag zu sterben … Backdoor-Routine: IRC Der Wurm enthält eine Liste der IRC-Kanäle, mit denen er sich verbinden will, um Remote-Zugriffsbefehle von einem Angreifer zu erhalten. Backdoor-Routine: Andere Der Wurm startet HTTP- und Telnet-ähnliche Server und bindet sie an vorkonfigurierte Ports, um Remotezugriff auf den Computer zu ermöglichen. Andere Der Wurm erfasst alle Tastenanschläge und schreibt sie in die Datei namens "iservc.klg" im Windows-Verzeichnis. Es versucht auch, seine aktualisierte Version von einer Geocities-Benutzerseite herunterzuladen und zu installieren. Der Wurm versucht, Prozesse zu beenden, die die folgenden Zeichenfolgen in ihren Namen enthalten: ANTIV AVP F-PROT NAV NMAIN SCAN TASKM VIRUS VSHW VSS Die meisten Optionen wie Registrierungsschlüsselnamen, IRC- und SMTP-Servernamen, Portnummern und Aktionssequenzen sind in einer speziellen Datendatei vorkonfiguriert, die verschlüsselt und in den Ressourcen der Wurm-EXE-Datei gespeichert ist.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Email-Worm.Win32.Fizzer