Email-Worm.Win32.Fizzer
Po uruchomieniu robak tworzy nast臋puj膮ce pliki w folderze Windows:
- iservc.exe - kopia robaka,
- initbak.dat - kopia robaka,
- ProgOp.exe - jeden ze sk艂adnik贸w robaka,
- iservc.dll - biblioteka robaka odpowiedzialna za przechwytywanie znak贸w wpisywanych z klawiatury,
- iservc.klg - plik przechowuj膮cy znaki przechwytywane z klawiatury.
Ponadto szkodnik tworzy w rejestrze systemowym klucz auto-run w celu zapewnienia sobie uruchamiania wraz z ka偶dym startem systemu operacyjnego:
CurrentVersionRun SystemInit=(folderWindows)iservc.exe
W systemach operacyjnych Windows NT/2000/XP robak mo偶e tworzy膰 us艂ug臋 systemow膮, jednak funkcja ta zosta艂a zablokowana przez autora.
Dodatkowo szkodnik rejestruje si臋 w systemie jako narz臋dzie domy艣lnie otwieraj膮ce pliki TXT i w zwi膮zku z tym uruchamia si臋 wraz z ka偶d膮 pr贸b膮 przegl膮dania takich plik贸w.
Robak kopiuje si臋 z losowymi nazwami do folderu wsp贸艂dzielonego w systemie KaZaA.
Robak korzysta z w艂asnego silnika SMTP. Zainfekowane wiadomo艣ci e-mail s膮 wysy艂ane pod adresy generowane losowo, a tak偶e pobierane z ksi膮偶ek adresowych Windows oraz programu Outlook.
Zainfekowane wiadomo艣ci posiadaj膮 r贸偶ne tematy, tre艣ci oraz nazwy za艂膮cznik贸w. Teksty te generowane s膮 przy u偶yciu wielu list. Przyk艂adowo:
Temat: Re: ;(
Nazwa za艂膮cznika: desktop.exe
Tre艣膰: you must not show this to anyone...
Temat: Re: I think you might find this amusing...
Nazwa za艂膮cznika: Logan6.exe
Tre艣膰: Let me know what you think of this...
Temat: Fwd: why?
Nazwa za艂膮cznika: Taylor83.com
Tre艣膰: Today is a good day to die...
Szkodnik zawiera list臋 kana艂贸w IRC, z kt贸rymi usi艂uje si臋 艂膮czy膰. Po nawi膮zaniu po艂膮czenia robak oczekuje na polecenia hakera.
Ponadto robak uruchamia serwery HTTP oraz telnet i 艂膮czy je z okre艣lonymi portami umo偶liwiaj膮c w ten spos贸b hakerowi przeprowadzenie zdalnego ataku na zainfekowany komputer.
Robak przechwytuje wszystkie znaki wpisywane z klawiatury zainfekowanego komputera i zapisuje je w pliku iservc.klg znajduj膮cym si臋 w folderze Windows. Ponadto szkodnik podejmuje pr贸by zamykania proces贸w, kt贸rych nazwy posiadaj膮 nast臋puj膮ce teksty:
ANTIV, AVP, F-PROT, NAV, NMAIN, SCAN, TASKM, VIRUS, VSHW, VSS.