Virusmonster

Annonse


Ny orm har multi-talent

Virusmonster

Fizzer er ingen vanlig orm som bare sendes som vedlegg og gjør ett eller annet når den blir eksekvert, men består av flere komponenter som gjør den spres på sofistikerte måter.

Den har sin egen SMTP-motor og er dermed uavhengig e-post klienter for å spre seg. Spredning skjer også ved hjelp av fildelingstjenesten Kazaa og ormen inneholder en modul som logger tastetrykk.

Man kan jo selv tenke seg hva som kan skje dersom man logger inn på sin nettbank med sitt vante brukernavn og passord, og tastetrykkene logges for deretter å sendes til en tredjepart.

Annonse


Ormen kan fornye seg selv, og kopler til en Geocities adresse for å laste ned siste oppdatering. Som de fleste andre “seriøse” ormer prøver den selvsagt å deaktivere eventuelle anti-virus applikasjoner på systemet.

Vanlige strenger som vises i emne-feltet når den ankommer pr. e-post kan være følgende:

I thought this was interesting…
rather psychedelic…
found this on the net, you might like it…
discothèque
imbrue
Damn it feels good to be gangsta.
The way I feel – Remy Shand
Paradigm Shift
WASSUP!
Know Thyself
Hell
I love you
Please discard if you don’t like or agree with our present leadership…
little popup remover
B cannot remember
Yo, WASSUP, B?
an interesting program…
You might not appreciate this…
I think you might find this amusing…
LOL
check this out… hehehe
question…
see you tomorrow.
how are you?
you need to lose weight.
why?
kind of simple, but fun nonetheless.
check it out.

Dersom vedlegget åpnes infiserer Fizzer systemet med følgende filer:initbak.dat, kopi av ormen
iservc.exe, kopi av ormen
progop.exe
iservc.dll, logger tastaturtrykk

På Windows NT/2000/XP lager den en prosess som heter S1Trace.

De fleste store anti-virus selskapene har oppdatert sine virusdefinisjoner slik at de kan fjerne ormen i de fleste tilfeller.

Mer informasjon om selve ormen finner du HER.

(Kilde: Symantec)


(Denne artikkelen er levert av hardware.no.)

Annonse