Fizzer kann fast alles, sogar Schwäbisch

12.05.2003 - Auf einen sehr komplexen Wurm hat Sophos bereits am 9. Mai aufmerksam gemacht. Nachdem er sich über das Wochenende (10./11. Mai) stark verbreitete, haben mehrere Antivirenfirmen (darunter Kaspersky, Trend Micro, Symantec, McAfee und F-Secure) den Mass-Mailer W32/Fizzer.A als mittlere oder sogar hohe Bedrohung charakterisiert.

Im Posteingang taucht Fizzer mit sehr unterschiedlichen Betreffzeilen auf. Rund 100 Varianten führt er in einer Liste mit sich. Darunter sind auch einige deutsche und sogar schwäbische wie “koi luscht zum schaffe ;()”. Auch die Texte in der Mail und die Namen für den gefährlichen Anhang, dessen Dateinamenserweiterung EXE, PIF, SCR oder COM lauten kann, wechseln willkürlich.

Der Wurm kann sich über Kazaa-Peer-to-Peer-Netzwerke verbreiten. Wer eine Datei aus dem gemeinsam genutzten Ordner eines infizierten Kazaa-Rechners herunterlädt, gefährdet seinen Rechner.

Daneben enthält Fizzer zahlreiche Mechanismen, um Hackern Zugang zu infizierten Rechnern und von diesem Computer aus genutzten Maschinen zu verschaffen. Beispielsweise führt er ein Keylogger-Tool mit, das alle Tastatureingaben des PC-Besitzers in der Datei ISERVC.KLG notiert. Ebenso an Bord sind Backdoor-Programme für AOL- und IRC-Server, über die Zugänge zum infizierten Rechner möglich sind. Über die Ports 2018, 2019, 2020 und 2021 bietet er direkte Backdoor-Dienste an.

Zur Desinfektion genügt es, die Fizzer-Dateien im Windows- und Kazaa-Verzeichnis zu löschen. F-Secure stellt zur Säuberung der Registrierdatenbank einen Registry-Patch zur Verfügung. Nach einem Neustart lassen sich manuell folgende Dateien entfernen:

Weitere Informationen: F-Secure Computer Virus Information Pages: Fizzer