Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Nový vir Fizzer láme všechny rekordy

aktualizováno 
Další virové nebezpečí přichází z Asie. Odtud se vysokou rychlostí rozšířil nový počítačový červ, který se šíří prostřednictvím internetu, napadá počítače a rozesílá se na další adresy. Dle posledních zpráv předstihl i hrozbu minulého roku, Kleze.

Zcela nový virus jménem Fizzer (W32/Fizzer-A) se počátkem měsíce května vyskytnul v celosvětové síti internetu. Jeho cesta začala na asiijském kontinetu. Ze začátku mu nikdo nevěnoval velkou pozornost, ale zejména v tomto týdnu se neuvěřitelným tempem začal šířit i do ostatních částí světa. Červ se dokonce dostal na první místo statistiky Messagelabs a předstihl tak i zatím nejúspěšnějšího vira Kleze.

Nákaza hrozí všem uživatelům operačního systému Windows, proto by si na tento zákeřný virus měli dávat pozor. Přes e-mailového klienta dokáže během chvíle infikovat celý počítač.

Do počítačů se vir dostává prostřednictvím e-mailových zpráv a pomocí výměnné peer-to-peer sítě KaZaa. Do vínku si přibral tzv. zadní vrátka (backdoor), která mu umožňují prostřednictvím vybraných IRC kanálů přijímat vzdálené příkazy, keylogger – určený pro zaznamenávání stisknutých kláves, nástroje pro podnikání DoS útoků a trojského koně. Stará se také o ukončování procesů antivirových programů, přičemž obsahuje schopnost update sama sebe.

Po infikování počítače se začne automaticky rozesílat na e-mailové adresy, které najde v Outlooku. Adresy také sbírá z Windows addrees books (WAB). Rozesílá se rovněž na náhodně vygenerované adresy s těmito doménami:

msn.com
hotmail.com
yahoo.com
aol.com
earthlink.net
gte.net
juno.com
netzero.com

V příloze samotného e-mailu je přiložen soubor s koncovkou .EXE, COM, PIF nebo SCR. Jeho jméno a text emailu je zvoleno náhodně z definovaných řetězců, který si červ nese s sebou. Navíc používá i jejich různé jazykové mutace.

Příklady textových řetězců:

"So how are you?"
"Check it out"
"There is only one good, knowledge, and on evil, ignorance"
"I sent this program (sparky) from anonymous places on the net"
"you must not show this to anyone"
"Today is a good day to die"
"thought I'd let you know"
"The way to gain a good reputation is to endeavor to be what you desire ..."
"Filth is a death"
"wie geht es Ihnen?"
"Philosophy imputes, reinterprets faith"
"If you don't like it, just delete it"
"delete this as soon as you lokk at it"
"Did you ever stop to think that viruses are good for the economy? ..."
"the incredibly bright faith"
"you don't have to if you don't want to"
"I wonder what can be so bad ..."
"Watchin' the game, having a bud."
"the attachment is only for you to look at"
"Let me know what you think of this..."

Dojde-li ke spuštění červa ze souboru, na pevném disku se vytvoří následující soubory:

initbak.dat – kopie červa
iservc.dll – obsahuje keylogger
iservc.exe – kopie červa
ProgOp.exe – kód červa (proces zpracování)

V registrech systému vytvoří klíč, kterým zabezpečí start souboru iservc.exe při každém naběhnutí OS:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "SystemInit" = C:\WINDOWS\ISERVC.EXE

Navíc modifikuje klíč, který řídí spouštění textových souborů. Takže vir je spuštěn při otevření jakéhokoliv souboru s příponou TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command
"(Default)" = C:\WINDOWS\ProgOp.exe 0 7 'C:\WINDOWS\NOTEPAD.EXE %1'
'C:\WINDOWS\initbak.dat' 'C:\WINDOWS\ISERVC.EXE'

A ten vytvoří klíč s podobnou asociací:

HKEY_CLASSES_ROOT\Applications\ProgOp.exe

Ještě chytřeji se spouští na systémech Windows NT/2000 a XP. V těchto OS využívá funkce spouštění služeb. Aktivuje se jako služba S1TRACE.

Velice škodlivá je funkce zadní vrátka. Červ oťukává (pinguje) různé IRC servery. Pakliže od nich obdrží odpověď, napojí se na ně náhodně vygenerovanými jmény a čeká na další instrukce od útočníka.

Seznam IRC serverů:

irc2p2pchat.net
irc.idigital-web.com
irc.cyberchat.org
irc.othernet.org
irc.beyondirc.net
irc.chatx.net
irc.cyberarmy.com
irc.gameslink.net

Dále Fizzer zneužívá AOL Boot, kde registruje náhodně pojmenované uživatele. Pak se připojí na AIM chat server k portu 5190 a vyčkává dalších instrukcí.

Vir se také připojuje na stránku geocities, kde si stahuje své aktualizace. Stránka ovšem z pochopitelných důvodů již nefunguje (byla zrušena).

Pomocí souboru obsahujícího keylogger zachytává kombinace stisknutých kláves a zapisuje je v šifrované podobě do souboru iservc.klg v adresáři Windows.

Přes P2P klienta KaZaa se šíří nakopírováním náhodně pojmenovanými lákavými soubory.

Červ navíc provozuje na počítači web server na portu 81. Ten zobrazuje informace o infikovaném systému (Systémový čas, informace o připojení, verze OS, informace o IRC a AIM). Také útočníkovi dovoluje provádět DoS útoky a další nebezpečné činnosti.

Dále vytváří server pro vzdálený přístup, kde přijímá příkazy prostřednictvím portů 2018, 2019, 2020, a 2021.

V neposlední řadě se stará o ukončení běhu antivirových programů, v nichž se vyskytují tyto textové řetězce:

ANTIV
AVP
F-PROT
NMAIN
SCAN
TASKM
VIRUS
VSHW
VSS

Odstranění z již infikovaného PC
Pokud se vám již jakýmkoliv způsobem podařilo infikovat vaše PC, pak k odstranění viru postačí vymazat výše zmíněné soubory z pevného disku a pročistit registry operačního systému od uvedených klíčů v tomto článku. Ovšem budete muset nabootovat do DOSu, protože mazání těchto souborů přímo z Windows je odepřeno z důvodu používání (jsou neustále spuštěné).

Pro méně zkušené uživatele tu pak máme tento jednoúčelový soubor – Antifizzer-en.exe (60 kB). Spuštěním tohoto fixačního souboru a následným restartem systému vyženete vir ze svého počítače.

Autor:




Hlavní zprávy

Další z rubriky

Ilustrační foto
Vytvořte si vlastní unikátní písmo nebo mějte přehled o počasí

Netradiční písmo s programem BirdFontho vytvoříte v Linuxu, Mac OS X či Windows. Aktuální počasí i jako spořič monitoru nabízí YoWindow. Zobrazit a exportovat...  celý článek

Avid Media Composer First
Stříhejte video jako hollywoodští profíci. Střižna od Avidu je zdarma

Společnost Avid vydala bezplatnou verzi své střižny Media Composer s názvem Media Composer First. Oproti té plné „hollywoodské“ verzi má několik omezení, ale...  celý článek

Tablet pro práci i zábavu.
I tablet pomůže sestříhat videa nebo zkontroluje čas strávený na úkolech

S aplikacemi z dnešního přehledu užitečné výbavy pro tablety s Androidem a iOS můžete například sledovat hudební videoklipy, rychleji ovládat vaše mobilní...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.