Email-Worm.Win32.Fizzer

Jest to robak internetowy rozprzestrzeniaj膮cy si臋 za po艣rednictwem wiadomo艣ci e-mail oraz systemu wymiany plik贸w KaZaA. Wyposa偶ony jest w procedur臋 backdoor.

Instalacja

Po uruchomieniu robak tworzy nast臋puj膮ce pliki w folderze Windows:

  • iservc.exe - kopia robaka,
  • initbak.dat - kopia robaka,
  • ProgOp.exe - jeden ze sk艂adnik贸w robaka,
  • iservc.dll - biblioteka robaka odpowiedzialna za przechwytywanie znak贸w wpisywanych z klawiatury,
  • iservc.klg - plik przechowuj膮cy znaki przechwytywane z klawiatury.

Ponadto szkodnik tworzy w rejestrze systemowym klucz auto-run w celu zapewnienia sobie uruchamiania wraz z ka偶dym startem systemu operacyjnego:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun SystemInit=(folderWindows)iservc.exe

W systemach operacyjnych Windows NT/2000/XP robak mo偶e tworzy膰 us艂ug臋 systemow膮, jednak funkcja ta zosta艂a zablokowana przez autora.

Dodatkowo szkodnik rejestruje si臋 w systemie jako narz臋dzie domy艣lnie otwieraj膮ce pliki TXT i w zwi膮zku z tym uruchamia si臋 wraz z ka偶d膮 pr贸b膮 przegl膮dania takich plik贸w.

Rozprzestrzenianie - system KaZaA

Robak kopiuje si臋 z losowymi nazwami do folderu wsp贸艂dzielonego w systemie KaZaA.

Rozprzestrzenianie - poczta elektroniczna

Robak korzysta z w艂asnego silnika SMTP. Zainfekowane wiadomo艣ci e-mail s膮 wysy艂ane pod adresy generowane losowo, a tak偶e pobierane z ksi膮偶ek adresowych Windows oraz programu Outlook.

Zainfekowane wiadomo艣ci posiadaj膮 r贸偶ne tematy, tre艣ci oraz nazwy za艂膮cznik贸w. Teksty te generowane s膮 przy u偶yciu wielu list. Przyk艂adowo:

Temat: Re: ;(
Nazwa za艂膮cznika: desktop.exe
Tre艣膰: you must not show this to anyone...

Temat: Re: I think you might find this amusing...
Nazwa za艂膮cznika: Logan6.exe
Tre艣膰: Let me know what you think of this...

Temat: Fwd: why?
Nazwa za艂膮cznika: Taylor83.com
Tre艣膰: Today is a good day to die...

Procedura backdoor

Szkodnik zawiera list臋 kana艂贸w IRC, z kt贸rymi usi艂uje si臋 艂膮czy膰. Po nawi膮zaniu po艂膮czenia robak oczekuje na polecenia hakera.

Ponadto robak uruchamia serwery HTTP oraz telnet i 艂膮czy je z okre艣lonymi portami umo偶liwiaj膮c w ten spos贸b hakerowi przeprowadzenie zdalnego ataku na zainfekowany komputer.

Informacje dodatkowe

Robak przechwytuje wszystkie znaki wpisywane z klawiatury zainfekowanego komputera i zapisuje je w pliku iservc.klg znajduj膮cym si臋 w folderze Windows. Ponadto szkodnik podejmuje pr贸by zamykania proces贸w, kt贸rych nazwy posiadaj膮 nast臋puj膮ce teksty:

ANTIV, AVP, F-PROT, NAV, NMAIN, SCAN, TASKM, VIRUS, VSHW, VSS
.