Datenrettung    News    Datenretter

Glossar    Erste Hilfe    Datenbackup    Computer & Hardware    News    Glossar    Viren & Trojaner    Viren-Katalog    AntiViren-Tools    Hack-Angriffe    Internes    Startseite    Partner    Sitemap    Unsere Banner    Presseinfo    Kontakt    Impressum

Viren : Virenkatalog A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9 I-Worm.Fizzer Worm.Fizzer alias Worm.Fizzu.A, W32.Fizzer, W32.Fizzer.A. W32.Fizzer.gen Dieser Wurm kommt per eMail, via Filetransfer Ihres Internetrelay.Chat-Programms oder dem FileSharing-Programm KaZaa auf Ihren Rechner. Wie viele Würmer der letzten Zeit beinhaltet "I-Worm.Fizzer" eine Backdoorfunktion um den infizierten Rechner für Dritte zugänglich zu machen. Wird der Wurm aktiviert so legt er folgende Dateien im Windows-Verzeichnis an: iservc.exe (Kopie des Wurmes) initbak.dat (Kopie des Wurmes) ProgOp.exe (Wurmteil) iservc.dll (Keylogger - Backdoor) iservc.klg (Datenfile des Keyloggers) Damit "I-Worm.Fizzer" auch zuverlässig bei jedem Systemstart automatisch gestartet wird legt der Wurm folgenden Registry-Eintrag an: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run und SystemInit=(Windows directory path)\iservc.exe Als Besonderheit beherscht "I-Worm.Fizzer" zudem das erzeugen eines System-Services bei den Windows Betriebssystemen NT/2000 und XP. Dieser Service (S1TRACE) ist aber durch den Autor deaktiviert (Disabled). Durch das doppelklicken auf TXT Dateien aktiviert sich das Virus: "I-Worm.Fizzer" ändert dafür die default Handler für TXT-Dateien so das der Wurm aktiviert wird sobald eine TXT-Datei durch Doppelklick geöffnet wird. HKEY_CLASSES_ROOT\txtfile\shell\open\command"(Default)"= C:\WINDOWS\ProgOp.exe 0 7 'C:\WINDOWS\NOTEPAD.EXE %1' 'C:\WINDOWS\initbak.dat' 'C:\WINDOWS\ISERVC.EXE' Neben der Verbreitung durch eMail (mit Hilfe eines eigene SMTP-Server) verwendet der Wurm auch KaZaa für seine Verbreitung. Das eMail wird aus einer Liste von zufälligen Subjects, Texten und Attachments (Name und Größe der Datei) erzeugt. Die eMail-Adressen nimmt der Wurm aus dem Outlook- und dem Windows-Adressbuch. Zudem ist verschickt das Virus diese eMails nicht sofort nach Infektion des Systems sondern erst Zeitversetzt. Das „Aussehen“ dieser Mail ändert sich dabei fast beliebig z.b: Subject: Re: ;( Attachment: desktop.exe Body: you must not show this to anyone... Oder Subject: Re: I think you might find this amusing... Attachment: Logan6.exe Body: Let me know what you think of this... Oder Subject: Fwd: why? Attachment: Taylor83.com Body: Today is a good day to die... Wie alle Würmer die sich über KaZaa verbreiten kopiert sich auf "I-Worm.Fizzer" mit unterschiedlichen Namen in den Download-Ordner wo andere User den Wurm laden können. Schadensfunktionen: Die integrierten Backdoorfunktion: Verbindungsaufbau zu mehreren IRC-Channels Der Wurm hat mehrere Adressen von IRC-Channels integriert und sollte ein Chat-Programm auf dem infizierten Rechner installiert sein so verbindet sich "I-Worm.Fizzer" mit diesen. Die fix im Wurm-Code integrierten Adressen: irc2p2pchat.net irc.idigital-web.com irc.cyberchat.org irc.othernet.org irc.beyondirc.net irc.chatx.net irc.cyberarmy.com irc.gameslink.net Installation eines HTTP und Telnet-Servers Durch den HTTP und Telnet-Server erhalten Dritte Zugang auf den infizierten PC! Tastatur-Logger Im Windows-Verzeichnis wird eine Datei "iservc.klg" angelegt welche sämtliche Tastatureingaben protokoliert. Download neuer Versionen Der Autor hat bei Geocities eine Homepage wohin sich der Wurm verbindet und eine neue Version des Wurmes/Backdoors downloadet und installiert. Registrieren und anmelden beim AOL-Messenger "I-Worm.Fizzer" registriert sich selbst beim Messenger-Dienst und loggt sich dann mit seinen eigenen Zugangsdaten im Chat-Programm ein. Beenden von Virenschutzsoftware Der Wurm beendet die Prozesse folgender Dateien: ANTIV AVP F-PROT NAV NMAIN SCAN TASKM VIRUS VSHW VSS Hinweise auf eine Infektion mit "I-Worm.Fizzer": > Ungewöhnlicher Traffic auf Port 6667 (IRC) oder 5190 (AIM) > Neue Dateien unter Windows sowie Registry-Einträge Tip vom IKARUS-Virendoktor: Wir empfehlen mit Nachdruck keine Attachments mit der Endung EXE , COM, BAT, SCR und PIF zu starten, von denen nicht sicher gestellt ist, welche Aktionen sie tatsächlich auslösen. Stehen Sie JEDEM ausführbaren Dateianhang kritisch gegenüber! Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments ohne diese vorher auf Viren geprüft zu haben. Aktivieren Sie wenn möglich einen eMail Filter, der Attachments, die Executables enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt. Ein Update Ihres Virenschutzprogammes ist empfehlenswert. Linktipps: Exklusive Gartenmöbel