W32/Fizzer@MM

Vírusinformáció

Felfedezés időpontja: 2003. 05. 08.

Eredet: Ismeretlen

Hossz: Változó

Típus: Vírus

Altípus: E-mail

Minimum DAT: 4263

Minimum Engine: 4.1.60

Tulajdonságok

A vírus felismeréséhez a 4.1.60-as keresőmotor szükséges, bár a 4.2.40-es ajánlott. Az AVERT közleménye szerint az összes felhasználó számára javasolt a 4.2.40-es keresőmotor azonnali telepítése.

Ez a tömeges levelezéssel terjedő programféreg több komponensből áll, és egy belső időzítő algoritmus segítségével indítja különböző folyamatait eltérő időpontokban. Ezek a folyamatok a következők:

1. Tömeges levélküldés az alábbi címekre:

• Outlook kapcsolat-lista
• Windows Address Book (WAB)
• A gépen helyben tárolt címek
• Véletlenszerűen létrehozott címek

2. IRC bot (Internet Relay Chat)
3. AIM bot (AOL Instant Messenger)
4. Billentyű-leütés naplózása
5. KaZaa féreg
6. HTTP-szerver
7. Távoli hozzáférést biztosító szerver
8. Önfrissítő mechanizmus
9. Vírusirtó szoftverek leállítása

A programféreg saját SMTP-rutinja segítéségével terjed az Internet Account Manager registry beállításai között megtalálható alapértelmezett SMTP-szerveren keresztül. Képes néhány száz egyéb levelező-szervert is használni.

A programféreg különféle e-mail üzenetekben érkezik. A feladó címét általában hamisítja, tehát a feladóként megjelenő cím legtöbbször nem a tényleges feladóé. Az üzenettörzs és a tárgy változhat, a mellékletek neve szintén. A mellékletek szokványos futtatható kiterjesztéssel rendelkeznek (.com, .exe, .pif, .scr). Példák:

Tárgy: why?

Üzenet: The peace

Melléklet: desktop.scr

 

Tárgy: Re: You might not appreciate this...

Üzenet: lautlach

Melléklet: service.scr

 

Tárgy: Re: how are you?

Üzenet: I sent this program (Sparky) from anonymous places on the net

Melléklet: Jesse20.exe

 

Tárgy: Fwd: Mariss995

Üzenet: There is only one good, knowledge, and one evil, ignorance.

Melléklet: Mariss995.exe

 

Tárgy: Re: The way I feel - Remy Shand

Üzenet: Nein

Melléklet: Jordan6.pif

A melléklet futtatásakor az elinduló programféreg számos fájlt helyez a WINDOWS (%WinDir%) könyvtárba:

• initbak.dat - A programféreg egy példánya
• iservc.exe - A programféreg egy példánya
• ProgOp.exe (15,360 bytes) - Folyamat-kezelés
• iservc.dll (7,680 bytes) - Időzítés-kezelő modul. A billentyű-naplózásért is felelős

A programféreg a következő registry bejegyzés létrehozásával biztosítja rendszerindításkor történő automatikus elindulását:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "SystemInit" = C:\WINDOWS\ISERVC.EXE

Módosul továbbá a .TXT kiterjesztésű fájlok kezelése, hogy .TXT fájlok megnyitásakor a programféreg automatikusan lefusson:

• HKEY_CLASSES_ROOT\txtfile\shell\open\command "(Default)" = C:\WINDOWS\ProgOp.exe 0 7 'C:\WINDOWS\NOTEPAD.EXE %1' 'C:\WINDOWS\initbak.dat' 'C:\WINDOWS\ISERVC.EXE'

Egy új CLASSES ROOT kulcs is készül:

• HKEY_CLASSES_ROOT\Applications\ProgOp.exe

Windows NT, 2000, XP rendszereken a programféreg S1TRACE nevű szolgáltatást hoz létre.

Levelező rutin

Néhány perc után a programféreg saját SMTP-rutinja segítségével küldi el saját kódját a már felsorolt forrásokból kinyert címekre. A véletlenszerű címek a következőképp készülnek:

1. rész: Véletlenszerű név (belső listából)

2. rész: Véletlen szám (opcionális)

3.rész: @véletlenszerű domain (a következők valamelyike: aol.com, earthlink.com, gte.net, hotmail.com, juno.com, msn.com, netzero.com, yahoo.com)

A levél tárgya és törzse a vírusban található angol és német szavak és kifejezések viszonylag nagy listájából kerül kiválasztásra. A melléklet neve szintén véletlenszerű, a vírusban található nevek közül egy kiválasztott mellé egy szám társul, majd .com, .exe, .pif, vagy .scr kiterjesztés. Előfordulhat még a fertőzött számítógépen található fájl neve, a megfelelő kiterjesztéssel párosítva (pl.desktop.ini -> desktop.scr).

IRC Bot

A programféreg több különböző IRC szerverrel próbálkozik. Amennyiben választ kap, a szerveren található egyik csatornára csatlakozik több különböző felhasználónévvel, és további utasításra vár a támadótól. Az IRC szerverek listája a következő:

irc2p2pchat.net

irc.idigital-web.com

irc.cyberchat.org

irc.othernet.org

irc.beyondirc.net

irc.chatx.net

irc.cyberarmy.com

irc.gameslink.net

AOL Bot

A programféreg egy AIM site-ra csatlakozik új, véletlenszerű felhasználó létrehozása érdekében. Ezután fellép egy AIM chat szerverre az 5190-es porton, csatlakozik egy chat-folyamatba, és további utasításra vár.

Önfrissítés

A programféreg a geocities-en tárolt egyik felhasználói oldalra próbál csatlakozni, frissítések letöltése céljából. A vírusleírás születésének idején ez a felhasználói oldal nem létezik.

Keylogger

A programféreg a billentyű-leütéseket naplózza, és a Windows könyvtárban található iservc.klg nevű fájlban tárolja titkosított formában.

KaZaa worm

A programféreg a KaZaa registry-ből kiolvasott alapértelmezett letöltési könyvtárába másolja magát véletlenszerű fájlneveken.

HTTP-szerver

A programféreg HTTP-szerverként is funkcionál, a 81-es porton. A webszerver parancs-konzolként működik, információkat jelenít meg a fertőzött rendszerről (rendszer-idő, kapcsolat-információk, OS verzió, IRC és AIM információk). Lehetővé teszi a támadónak különféle funkciók indítását, például Denial of Service támadást, tömeges levelezést, AOL/IRC bot parancsok kiadását, és a vírusirtók folyamatainak leállítását).

Remote access server

A programféreg távoli hozzáférést lehetővé tévő szolgáltatásként fut a 2018, 2019, 2020, és 2021-es portok megnyitásával.

Víruskereső szoftverek leállítása

A programféreg megkísérli a következő karaktersorozatokat tartalmazó folyamatok leállítását:

ANTIV

AVP

F-PROT

NMAIN

SCAN

TASKM

VIRUS

VSHW

VSS

Tünetek

- Szokatlan, váratlan forgalom a 6667 (IRC) vagy a 5190 (AIM) portokon

- A feljebb említett fájlok vagy registry kulcsok jelenléte

A fertőzés menete

Ez a programféreg KaZaa és e-mail segítségével terjed, tömegesen küldve magát a rendszeren talált, vagy véletlenszerűen létrehozott címekre, időnként a küldő nevét hamisítva. Futtatható állományként érkezik, lefuttatásához felhasználói beavatkozás szükséges.

A programféreg többféle információt tárol tömörítve saját kódjában. Ez az információ egyes mintánként különbözik, minek eredménye a fertőzött fájlok hosszának jelentős eltérése lehet.

A vírus minden futó folyamatba behelyezi saját ISERVC.DLL állományát a fertőzés megtörténte után. A DLL törlése előtt ezeket a folyamatokat le kell állítani. Ehhez a 4.2.40-es keresőmotor szükséges.

Eltávolítási utasítások

Használja a megadott keresőmotor és adatbázis-verzió kombinációját. A 4.2.40-es keresőmotor használata javasolt.

A rendszerleíró adatbázisban és az INI fájlokban történt módosítások eltávolítása a javasolt keresőmotor és adatbázis használatával automatikusan megtörténik.

A McAfee Stinger segédprogram frissítésre került, már felismeri és eltávolítja a W32/Fizzer@MM vírust. A Stinger-rel történő eltávolítás után indítsa újra a rendszert. Stinger letöltése

Manuális eltávolítási utasítások

1. Indítsa újra a rendszert csökkentett módban

2. Törölje ki a következő fájlokat a Windows könyvtárból (általában c:\windows vagy c:\winnt)

initbak.dat

iservc.exe

ProgOp.exe

iservc.dll

3. Módosítsa a rendszerleíró adatbázist:

• Állítsa a "HKCR\txtfile\shell\open\command" értékét "NOTEPAD.EXE %1"-re
• Törölje a "SystemInit" értéket a "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" útvonalról.
• Törölje a "HKEY_CLASSES_ROOT\Applications\ProgOp.exe" kulcsot
• Törölje a "HKLM\SYSTEM\CurrentControlSet\Services\S1TRACE" kulcsot

4. Indítsa újra a rendszert

Egyéb elnevezések

Fizzer (F-Secure)

W32.HLLW.Fizzer@mm (Symantec)

W32/Fizzer (Panda)

W32/Fizzer-A (Sophos)

W32/Fizzer.gen@MM

Worm/Fizzu.A (Central Command)

WORM_FIZZER.A (Trend)