Achtung Worm/Fizzu.A
Virusname: Worm/Fizzu.A
Alias: W32/Fizzer@mm, W32/Fizzer.gen@MM
Viren Typ: Internet Wurm
Dateigröße: 220.160 Bytes
Betriebsysteme: Microsoft Windows 9x/NT/2000/XP
Ursprung: -
Datum: 12.05.2003
Schadensroutine:
VDF Version: 6.19.00.13
Allgemeine Beschreibung:
Worm/Fizzu.A ist ein Massenmailer und kann sich über das Kazaa Peer-To-Peer (P2P) Netzwerk verbreiten. Er führt ein IRC Backdoor Programm, ein DoS (Denial of Service) Tool sowie einen Trojaner mit sich.
Versandte Emails von Worm/Fizzu.A sehen nie gleich aus, da der Name des Attachments, der Betreff und Emailbody aus einer Liste von Wörtern zusammengesetzt werden, die der Wurm mit sich führt.
Technische Details:
Wird Worm/Fizzu.A ausgeführt, kopiert er sich in das Windows Verzeichnis mit folgenden Dateinamen:
ISERVC.EXE (220.160 Bytes)
INITBAK.DAT (220.160 Bytes)
Darüber hinaus erstellt er im Windows-Verzeichnis zwei weitere Dateien:
ISERVC.DLL (Keylogger)
PROGOP.EXE (15,360 bytes)
Damit Worm/Fizzu.A beim nächsten Systemstart wieder ausgeführt wird, legt er einen Autorun Eintrag in der Windows Registry an:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
"SystemInit"="%WindowDIR%\iservc.exe"
und modifiziert folgenden Eintrag:
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="%windir%\ProgOp.exe 0 7 '%windir%\NOTEPAD.EXE %1' '%windir%\initbak.dat' '%windir%\ISERVC.EXE'File" menu."
Versandte Emails von Worm/Fizzu.A haben unterschiedliche Inhalte. Der Attachment-Name, die Betreffzeile und Emailbody wird aus einer großen Liste mit englischen und deutschen Wörtern zusammengesetzt, die der Wurm mit sich führt. Die Emailadressen, an die sich Worm/Fizzu.A versendet, sucht er sich aus dem Windows Adress Buch (WAB). Eine versandte Email kann folgendes Aussehen besitzen:
Subject: Re: You might not appreciate this...
Body: There is only good, knowledgem, and one evil, ignorance
Subject: Service.scr
oder
Subject: Why?
Body: I sent this program (Sparky) from anonymous places on the net
Attachment: Desktop.scr
Der Wurm ist in der Lage, Anwendungen mit folgenden Prozessnamen zu beenden:
NAV, SCAN, AVP, TASKM, VIRUS, F-PROT, VSHW, ANTIV, VSS, NM
Quelle: free-av
bitte unbedingt virenupdate
|