Traderboersenboard - Einzelnen Beitrag anzeigen

Morillo · 15-05-2003, 12:24

Virusname: Worm/Fizzu.A
Alias: W32/Fizzer@mm, W32/Fizzer.gen@MM
Viren Typ: Internet Wurm
Dateigröße: 220.160 Bytes
Betriebsysteme: Microsoft Windows 9x/NT/2000/XP
Ursprung: -
Datum: 12.05.2003
Schadensroutine:
VDF Version: 6.19.00.13

Allgemeine Beschreibung:

Worm/Fizzu.A ist ein Massenmailer und kann sich über das Kazaa Peer-To-Peer (P2P) Netzwerk verbreiten. Er führt ein IRC Backdoor Programm, ein DoS (Denial of Service) Tool sowie einen Trojaner mit sich.

Versandte Emails von Worm/Fizzu.A sehen nie gleich aus, da der Name des Attachments, der Betreff und Emailbody aus einer Liste von Wörtern zusammengesetzt werden, die der Wurm mit sich führt.

Technische Details:

Wird Worm/Fizzu.A ausgeführt, kopiert er sich in das Windows Verzeichnis mit folgenden Dateinamen:

ISERVC.EXE (220.160 Bytes)
INITBAK.DAT (220.160 Bytes)

Darüber hinaus erstellt er im Windows-Verzeichnis zwei weitere Dateien:

ISERVC.DLL (Keylogger)
PROGOP.EXE (15,360 bytes)

Damit Worm/Fizzu.A beim nächsten Systemstart wieder ausgeführt wird, legt er einen Autorun Eintrag in der Windows Registry an:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
"SystemInit"="%WindowDIR%\iservc.exe"

und modifiziert folgenden Eintrag:

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="%windir%\ProgOp.exe 0 7 '%windir%\NOTEPAD.EXE %1' '%windir%\initbak.dat' '%windir%\ISERVC.EXE'File" menu."

Versandte Emails von Worm/Fizzu.A haben unterschiedliche Inhalte. Der Attachment-Name, die Betreffzeile und Emailbody wird aus einer großen Liste mit englischen und deutschen Wörtern zusammengesetzt, die der Wurm mit sich führt. Die Emailadressen, an die sich Worm/Fizzu.A versendet, sucht er sich aus dem Windows Adress Buch (WAB). Eine versandte Email kann folgendes Aussehen besitzen:

Subject: Re: You might not appreciate this...
Body: There is only good, knowledgem, and one evil, ignorance
Subject: Service.scr

oder

Subject: Why?
Body: I sent this program (Sparky) from anonymous places on the net
Attachment: Desktop.scr

Der Wurm ist in der Lage, Anwendungen mit folgenden Prozessnamen zu beenden:

NAV, SCAN, AVP, TASKM, VIRUS, F-PROT, VSHW, ANTIV, VSS, NM

Quelle: free-av

bitte unbedingt virenupdate

15-05-2003, 12:24	#1
Morillo TBB Family Registriert seit: Mar 2003 Beiträge: 3.030	Achtung Worm/Fizzu.A Virusname: Worm/Fizzu.A Alias: W32/Fizzer@mm, W32/Fizzer.gen@MM Viren Typ: Internet Wurm Dateigröße: 220.160 Bytes Betriebsysteme: Microsoft Windows 9x/NT/2000/XP Ursprung: - Datum: 12.05.2003 Schadensroutine: VDF Version: 6.19.00.13 Allgemeine Beschreibung: Worm/Fizzu.A ist ein Massenmailer und kann sich über das Kazaa Peer-To-Peer (P2P) Netzwerk verbreiten. Er führt ein IRC Backdoor Programm, ein DoS (Denial of Service) Tool sowie einen Trojaner mit sich. Versandte Emails von Worm/Fizzu.A sehen nie gleich aus, da der Name des Attachments, der Betreff und Emailbody aus einer Liste von Wörtern zusammengesetzt werden, die der Wurm mit sich führt. Technische Details: Wird Worm/Fizzu.A ausgeführt, kopiert er sich in das Windows Verzeichnis mit folgenden Dateinamen: ISERVC.EXE (220.160 Bytes) INITBAK.DAT (220.160 Bytes) Darüber hinaus erstellt er im Windows-Verzeichnis zwei weitere Dateien: ISERVC.DLL (Keylogger) PROGOP.EXE (15,360 bytes) Damit Worm/Fizzu.A beim nächsten Systemstart wieder ausgeführt wird, legt er einen Autorun Eintrag in der Windows Registry an: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run] "SystemInit"="%WindowDIR%\iservc.exe" und modifiziert folgenden Eintrag: [HKEY_CLASSES_ROOT\txtfile\shell\open\command] @="%windir%\ProgOp.exe 0 7 '%windir%\NOTEPAD.EXE %1' '%windir%\initbak.dat' '%windir%\ISERVC.EXE'File" menu." Versandte Emails von Worm/Fizzu.A haben unterschiedliche Inhalte. Der Attachment-Name, die Betreffzeile und Emailbody wird aus einer großen Liste mit englischen und deutschen Wörtern zusammengesetzt, die der Wurm mit sich führt. Die Emailadressen, an die sich Worm/Fizzu.A versendet, sucht er sich aus dem Windows Adress Buch (WAB). Eine versandte Email kann folgendes Aussehen besitzen: Subject: Re: You might not appreciate this... Body: There is only good, knowledgem, and one evil, ignorance Subject: Service.scr oder Subject: Why? Body: I sent this program (Sparky) from anonymous places on the net Attachment: Desktop.scr Der Wurm ist in der Lage, Anwendungen mit folgenden Prozessnamen zu beenden: NAV, SCAN, AVP, TASKM, VIRUS, F-PROT, VSHW, ANTIV, VSS, NM Quelle: free-av bitte unbedingt virenupdate