Der russische Virenschutz-Anbieter Kaspersky Labs, warnt heute in Moskau vor dem neu entdeckten Internet-Wurm Fizzer. Der Schädling verschickt seine Kopien nicht nur über E-Mail, sondern enthält auch Prozeduren zu einer Verbreitung über das P2P-Netzwerk KaZaA, sowie einen Keylogger und einen Trojaner. Zur Zeit seien Kaspersky Labs bereits mehrere Fälle der Verbreitung Fizzers bekannt geworden.

Die Malware gelangt als ausführbare Datei auf den anvisierten Computer. Danach werden auf der Festplatte fünf Dateien generiert erstellt und die Autorun-Sektion des Windows-Systemregisters wird modifiziert, um Fizzer beim Starten des Betriebssystems zu laden.

Zur Versendung seiner Kopien per E-Mail, durchsucht Fizzer die Adressverzeichnisse von Outlook oder benutzt zufällig ausgewählte Adressen von Hotmail und Yahoo, als Zielscheibe. Die Betreffzeile lautet "Re: I think you might find this amusing..." Zur Verbreitung über KaZaA erstellt Fizzer seine Kopien und stellt diese unter zufällig gewählten Namen in das Verzeichnis des P2P-Netzwerks.

Der Wurm installiert weiter einen Keylogger, welcher alle Tastaturanschläge aufzeichnet, und in einer eigenen Datei abspeichert. Um diese und andere Daten weiterzuleiten, wird ein Backdoor-Utility installiert, welches Hackern die Möglichkeit gibt, über IRC-Chat-Channels und über HTTP-Protokolle und Telnet unbemerkt Kontrolle über den Computer auszuüben. Zudem stellt der Wurm regelmäßig eine Verbindung zu einer Web-Seite auf dem allgemein zugänglichen Server Geocities her und versucht von dort eine aktualisierte Version seiner ausführbaren Module herunterzuladen. Um einer Entdeckung zu entgehen, scannt Fizzer den Speicher des Computers und schließt die aktiven Vorgänge einiger der gängigsten Antiviren-Programme.

cu aerox