Nový vir Fizzer láme všechny rekordy

  • 49
Další virové nebezpečí přichází z Asie. Odtud se vysokou rychlostí rozšířil nový počítačový červ, který se šíří prostřednictvím internetu, napadá počítače a rozesílá se na další adresy. Dle posledních zpráv předstihl i hrozbu minulého roku, Kleze.

Zcela nový virus jménem Fizzer (W32/Fizzer-A) se počátkem měsíce května vyskytnul v celosvětové síti internetu. Jeho cesta začala na asiijském kontinetu. Ze začátku mu nikdo nevěnoval velkou pozornost, ale zejména v tomto týdnu se neuvěřitelným tempem začal šířit i do ostatních částí světa. Červ se dokonce dostal na první místo statistiky Messagelabs a předstihl tak i zatím nejúspěšnějšího vira Kleze.

Nákaza hrozí všem uživatelům operačního systému Windows, proto by si na tento zákeřný virus měli dávat pozor. Přes e-mailového klienta dokáže během chvíle infikovat celý počítač.

Do počítačů se vir dostává prostřednictvím e-mailových zpráv a pomocí výměnné peer-to-peer sítě KaZaa. Do vínku si přibral tzv. zadní vrátka (backdoor), která mu umožňují prostřednictvím vybraných IRC kanálů přijímat vzdálené příkazy, keylogger – určený pro zaznamenávání stisknutých kláves, nástroje pro podnikání DoS útoků a trojského koně. Stará se také o ukončování procesů antivirových programů, přičemž obsahuje schopnost update sama sebe.

Po infikování počítače se začne automaticky rozesílat na e-mailové adresy, které najde v Outlooku. Adresy také sbírá z Windows addrees books (WAB). Rozesílá se rovněž na náhodně vygenerované adresy s těmito doménami:

msn.com
hotmail.com
yahoo.com
aol.com
earthlink.net
gte.net
juno.com
netzero.com

V příloze samotného e-mailu je přiložen soubor s koncovkou .EXE, COM, PIF nebo SCR. Jeho jméno a text emailu je zvoleno náhodně z definovaných řetězců, který si červ nese s sebou. Navíc používá i jejich různé jazykové mutace.

Příklady textových řetězců:

"So how are you?"
"Check it out"
"There is only one good, knowledge, and on evil, ignorance"
"I sent this program (sparky) from anonymous places on the net"
"you must not show this to anyone"
"Today is a good day to die"
"thought I'd let you know"
"The way to gain a good reputation is to endeavor to be what you desire ..."
"Filth is a death"
"wie geht es Ihnen?"
"Philosophy imputes, reinterprets faith"
"If you don't like it, just delete it"
"delete this as soon as you lokk at it"
"Did you ever stop to think that viruses are good for the economy? ..."
"the incredibly bright faith"
"you don't have to if you don't want to"
"I wonder what can be so bad ..."
"Watchin' the game, having a bud."
"the attachment is only for you to look at"
"Let me know what you think of this..."

Dojde-li ke spuštění červa ze souboru, na pevném disku se vytvoří následující soubory:

initbak.dat – kopie červa
iservc.dll – obsahuje keylogger
iservc.exe – kopie červa
ProgOp.exe – kód červa (proces zpracování)

V registrech systému vytvoří klíč, kterým zabezpečí start souboru iservc.exe při každém naběhnutí OS:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "SystemInit" = C:\WINDOWS\ISERVC.EXE

Navíc modifikuje klíč, který řídí spouštění textových souborů. Takže vir je spuštěn při otevření jakéhokoliv souboru s příponou TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command
"(Default)" = C:\WINDOWS\ProgOp.exe 0 7 'C:\WINDOWS\NOTEPAD.EXE %1'
'C:\WINDOWS\initbak.dat' 'C:\WINDOWS\ISERVC.EXE'

A ten vytvoří klíč s podobnou asociací:

HKEY_CLASSES_ROOT\Applications\ProgOp.exe

Ještě chytřeji se spouští na systémech Windows NT/2000 a XP. V těchto OS využívá funkce spouštění služeb. Aktivuje se jako služba S1TRACE.

Velice škodlivá je funkce zadní vrátka. Červ oťukává (pinguje) různé IRC servery. Pakliže od nich obdrží odpověď, napojí se na ně náhodně vygenerovanými jmény a čeká na další instrukce od útočníka.

Seznam IRC serverů:

irc2p2pchat.net
irc.idigital-web.com
irc.cyberchat.org
irc.othernet.org
irc.beyondirc.net
irc.chatx.net
irc.cyberarmy.com
irc.gameslink.net

Dále Fizzer zneužívá AOL Boot, kde registruje náhodně pojmenované uživatele. Pak se připojí na AIM chat server k portu 5190 a vyčkává dalších instrukcí.

Vir se také připojuje na stránku geocities, kde si stahuje své aktualizace. Stránka ovšem z pochopitelných důvodů již nefunguje (byla zrušena).

Pomocí souboru obsahujícího keylogger zachytává kombinace stisknutých kláves a zapisuje je v šifrované podobě do souboru iservc.klg v adresáři Windows.

Přes P2P klienta KaZaa se šíří nakopírováním náhodně pojmenovanými lákavými soubory.

Červ navíc provozuje na počítači web server na portu 81. Ten zobrazuje informace o infikovaném systému (Systémový čas, informace o připojení, verze OS, informace o IRC a AIM). Také útočníkovi dovoluje provádět DoS útoky a další nebezpečné činnosti.

Dále vytváří server pro vzdálený přístup, kde přijímá příkazy prostřednictvím portů 2018, 2019, 2020, a 2021.

V neposlední řadě se stará o ukončení běhu antivirových programů, v nichž se vyskytují tyto textové řetězce:

ANTIV
AVP
F-PROT
NMAIN
SCAN
TASKM
VIRUS
VSHW
VSS

Odstranění z již infikovaného PC
Pokud se vám již jakýmkoliv způsobem podařilo infikovat vaše PC, pak k odstranění viru postačí vymazat výše zmíněné soubory z pevného disku a pročistit registry operačního systému od uvedených klíčů v tomto článku. Ovšem budete muset nabootovat do DOSu, protože mazání těchto souborů přímo z Windows je odepřeno z důvodu používání (jsou neustále spuštěné).

Pro méně zkušené uživatele tu pak máme tento jednoúčelový soubor – Antifizzer-en.exe (60 kB). Spuštěním tohoto fixačního souboru a následným restartem systému vyženete vir ze svého počítače.