Kaspersky Labs, eine internationale Software- Schmiede im Bereich Datensicherheit, warnt vor dem neu entdeckten Internet-Wurm Fizzer. Diese Malware verschickt ihre Kopien nicht nur über E-Mails, sondern enthält auch Prozeduren zur Verbreitung über das P2P-Netzwerk KaZaA sowie einen Keylogger und einen Trojaner, um den infizierten Computer zu kontrollieren. Zunächst gelangt Fizzer als ausführbare Datei auf den anvisierten Computer und aktiviert sich, sobald der PC gestartet wird. Danach werden auf der Festplatte fünf zusätzliche Dateien erstellt und die Autorun-Section des Windows-Systemregisters wird modifiziert, um den Internet-Wurm beim Starten des Betriebssystems zu laden. Kaspersky Labs sind bereits mehrere Fälle von Infizierungen durch Fizzer bekannt geworden.
Schnelle Verbreitung
Die Besonderheit dieses Wurms besteht darin, dass er sich über zwei Wege schnell und effizient verbreiten kann: über E-Mails und über KaZaA. Für den Versand seiner Kopien per E-Mail durchsucht Fizzer die Adressverzeichnisse von Outlook und Windows (Windows Address Book) oder benutzt zufällig ausgewählte Adressen aus den größten öffentlichen E-Mail-Systemen wie Hotmail und Yahoo. Danach verschickt der Wurm von infizierten Computern aus E-Mails mit dem Absender des jeweiligen Besitzers. Diese können unterschiedliche Betreffzeilen, Textinhalte und Dateinamen haben.
Ein Beispiel:
Betreff: Re: I think you might find this amusing...
Angehängte Datei: Logan6.exe
Body: Let me know what you think of this...
Zur Verbreitung über KaZaA erstellt Fizzer seine Kopien und stellt diese unter zufällig gewählten Namen in das Verzeichnis des P2P-Netzwerks, so dass sie für andere User zugänglich werden.
Riskante Nebenwirkungen
Fizzer kann zur Verbreitung vertraulicher Informationen von infizierten Computern führen. Der Wurm installiert einen Keylogger, der alle Betätigungen der Tastatur abfängt und in einer eigenen Datei abspeichert. Um diese und andere Daten weiterzuleiten, wird ein Backdoor-Utility installiert (zur unautorisierten Zugriffskontrolle), das Hackern ermöglicht, über IRC-Chat-Channels, HTTP-Protokolle sowie Tenet unbemerkt den Computer zu kontrollieren. Zudem stellt der Wurm regelmäßig eine Verbindung zu einer Web-Seite auf dem allgemein zugänglichen Server Geocities her und versucht von dort eine aktualisierte Version seiner ausführbaren Module herunterzuladen. Um einer Entdeckung zu entgehen, scannt Fizzer darüber hinaus den Speicher des Computers und schließt die aktiven Vorgänge einiger gängiger Antiviren-Programme.
Die Antiviren-Datenbank von Kaspersky Anti-Virus enthält bereits einen Schutz vor Fizzer. Detailliertere Informationen über Fizzer finden sich unter:
http://www.viruslist.com/eng/viruslist.html?id=60431
Navigation
Gefährlicher neuer Internet-Wurm: Fizzer attackiert via E- Mails und KaZaA
Linear-Darstellung
