На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2003-5-14 на главную / новости от 2003-5-14
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 14 мая 2003 г.

В интернете свирепствует червь Fizzer

В интернете стремительно распространяется чрезвычайно умный червь, рассылающий массовые почтовые сообщения.

Червь Fizzer (w32.fizzer@mm) содержит множество разных компонентов, каждый из которых запускает различные процессы, что чрезвычайно затрудняет борьбу с ним.

Fizzer распространяется по e-mail и имеет собственный механизм SMTP для преодоления любой защиты, какую только может выставить клиент e-mail. Кроме того, он распространяется через популярную систему обмена файлами Kazaa.

Червь самообновляется, получая последние изменения через эккаунт на GeoCities, и создает свои собственные эккаунты в системах Internet Relay Chat (IRC) и AOL Instant Messenger, ожидая новых инструкций от своего автора.

В момент заражения Fizzer пытается заблокировать любые антивирусные программы. Зараженная Fizzer система может использоваться в распределенных атаках denial-of-service (DDoS) на другие компьютеры.

Fizzer содержит троянского коня, который может использоваться для кражи паролей и информации о кредитных картах.

За все свои разнообразные способности Fizzer получил 7-ю степень опасности по шкале ZDNet Virus Meter.

Как он работает
Fizzer приходит в форме почтового сообщения с несколькими вариантами содержимого строки subject и тела письма. Адрес в поле From: может быть фальшивым, так что доверять ему нельзя. Вложенные файлы имеют одно из следующих расширений: com, .exe, .pif или .scr. Если пользователь открывает вложенный файл или активизирует червя каким-либо иным способом, в каталог Windows добавляется три файла:

initbak.dat, копия червя;
iservc.exe, копия червя;
progop.exe;
 iservc.dll, троянец с возможностью keystroke logging.

По данным McAfee, Fizzer модифицирует системный реестр следующим образом:

Hkey_local_machine\Software\Microsoft\Windows\CurrentVersion\ Run "SystemInit" = C:\Windows\iservc.exe

Hkey_classes_root\txtfile\shell\open\command "(Default)" = C:\Windows\progop.exe 0 7 'C:\Windows\Notepad.exe %1' 'C:\Windows\initbak.dat' 'C:\Windows\iservc.exe'

Hkey_classes_root\Applications\progop.exe

В системах Windows NT, 2000 и XP Fizzer создает также сервис с именем S1Trace.

Этот червь разными способами «прослушивает» внешний интернет-трафик. В число признаков заражения входит внезапное появление трафика через порты 6667 (IRC) и 5190 (AIM).

Удаление
Большинство антивирусных компаний уже обновили свои signature-файлы, включив в них нового червя. Это предотвратит заражение через прямой контакт и в некоторых случаях избавит систему от активной инфекции. Более подробную информацию можно получить в компаниях Central Command, F-Secure, McAfee, MessageLabs, Sophos, Symantec или Trend Micro. 

 Предыдущие публикации:
2003-04-07   Число security-инцидентов подскочило на 80%
 В продолжение темы:
2003-05-19   Червь Palyh распространяется в фальшивом письме от Microsoft
2003-05-20   Разгаданы секреты вируса Fizzer

 

← апрель 2003 8  11  12  13  14  15  16  19  20 июнь 2003 →
Реклама!
 

 

Место для Вашей рекламы!