Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Fizzer - przechwytuje znaki wpisywane z klawiatury

Jest to robak internetowy rozprzestrzeniający się za pośrednictwem wiadomości e-mail oraz systemu wymiany plików KaZaA. Wyposażony jest w procedurę backdoor.

Instalacja

Po uruchomieniu robak tworzy następujące pliki w folderze Windows:

  • iservc.exe - kopia robaka,
  • initbak.dat - kopia robaka,
  • ProgOp.exe - jeden ze składników robaka,
  • iservc.dll - biblioteka robaka odpowiedzialna za przechwytywanie znaków wpisywanych z klawiatury,
  • iservc.klg - plik przechowujący znaki przechwytywane z klawiatury.

Ponadto szkodnik tworzy w rejestrze systemowym klucz auto-run w celu zapewnienia sobie uruchamiania wraz z każdym startem systemu operacyjnego:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run SystemInit=(folderWindows)\iservc.exe

W systemach operacyjnych Windows NT/2000/XP robak może tworzyć usługę systemową, jednak funkcja ta została zablokowana przez autora.

Dodatkowo szkodnik rejestruje się w systemie jako narzędzie domyślnie otwierające pliki TXT i w związku z tym uruchamia się wraz z każdą próbą przeglądania takich plików.

Rozprzestrzenianie - system KaZaA

Robak kopiuje się z losowymi nazwami do folderu współdzielonego w systemie KaZaA.

Rozprzestrzenianie - poczta elektroniczna

Robak korzysta z własnego silnika SMTP. Zainfekowane wiadomości e-mail są wysyłane pod adresy generowane losowo, a także pobierane z książek adresowych Windows oraz programu Outlook.

Zainfekowane wiadomości posiadają różne tematy, treści oraz nazwy załączników. Teksty te generowane są przy użyciu wielu list. Przykładowo:

Temat: Re: ;(
Nazwa załącznika: desktop.exe
Treść: you must not show this to anyone...

Temat: Re: I think you might find this amusing...
Nazwa załącznika: Logan6.exe
Treść: Let me know what you think of this...

Temat: Fwd: why?
Nazwa załącznika: Taylor83.com
Treść: Today is a good day to die...

Procedura backdoor

Szkodnik zawiera listę kanałów IRC, z którymi usiłuje się łączyć. Po nawiązaniu połączenia robak oczekuje na polecenia hakera.

Ponadto robak uruchamia serwery HTTP oraz telnet i łączy je z określonymi portami umożliwiając w ten sposób hakerowi przeprowadzenie zdalnego ataku na zainfekowany komputer.

Informacje dodatkowe

Robak przechwytuje wszystkie znaki wpisywane z klawiatury zainfekowanego komputera i zapisuje je w pliku "iservc.klg" znajdującym się w folderze Windows. Ponadto szkodnik podejmuje próby zamykania procesów, których nazwy posiadają następujące teksty:

ANTIV, AVP, F-PROT, NAV, NMAIN, SCAN, TASKM, VIRUS, VSHW, VSS.



 2003-05-12  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych