Email-Worm.Win32.Fizzer

技術的な詳細

Fizzerは、電子メールメッセージとKaZaa共有ディレクトリを介して広がるインターネットワームです。また、 "バックドア"リモートアクセス機能も含まれています。

インストール

ワームが起動されると、Windowsディレクトリに次のファイルが作成されます。

iservc.exe（ワームのコピー）initbak.dat（ワームのコピー）ProgOp.exe（ワームのコンポーネント）iservc.dll（ワームによって使用されるキーロガーライブラリ）iservc.klg（ログされたキーストロークデータを含む）

ワームはまた、Windowsの起動時に自動的に起動するレジストリキーを書き込みます。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemInit =（Windowsディレクトリパス）iservc.exe

Windows NT / 2000 / XPでは、ワームはシステムサービスを作成できますが、この機能は作成者によって無効になっています。

また、 ".TXT"拡張子を持つファイルのデフォルトハンドラとして登録されるため、そのようなファイルが開かれたときにワームが実行されます。

レプリケーション：KaZaa

このワームはKaZaaのダウンロードディレクトリにランダムなファイル名で自分自身をコピーします。

レプリケーション：電子メール

ワームは独自のSMTPエンジンを使用してそのコピーを送信します。宛先電子メールアドレスは、OutlookおよびWindowsアドレス帳からランダムに生成または抽出されます。

感染したメッセージには、さまざまな選択されたサブジェクト、本文、および添付ファイル名があります。それらは、いくつかの大きな文字列リストから生成されます。例えば：

件名：Re：;（添付ファイル：desktop.exe本文：誰にもこれを表示してはいけません…件名：Re：この楽しいかもしれないと思います…添付ファイル：Logan6.exe本文：あなたの意見を教えてください件名：Fwd：なぜ？アタッチメント：Taylor83.com本文：今日は死ぬのが良い日です…

バックドアルーチン：IRC

ワームは、攻撃者からのリモートアクセスコマンドを受信するために接続しようとするIRCチャネルのリストを含んでいます。

バックドアルーチン：その他

ワームは、HTTPとtelnetのようなサーバを起動し、それらを事前設定されたポートにバインドして、コンピュータへのリモートアクセスを提供します。

その他

ワームは、すべてのキーストロークをキャプチャし、Windowsディレクトリの "iservc.klg"というファイルに書き込みます。また、geocitiesのユーザーページから更新されたバージョンをダウンロードしてインストールしようとします。ワームは、名前に以下の文字列を含むプロセスを終了しようとします。

ANTIV AVP F-PROT NAV NMAINスキャンタスキルウイルスVSHW VSS

レジストリキー名、IRC、SMTPサーバ名、ポート番号、アクションシーケンスなどのほとんどのオプションは、暗号化され、ワー​​ムのEXEファイルのリソースに保存されている特別なデータファイルにあらかじめ設定されています。