Fizzer-Wurm verbreitet sich rasant im Internet

Verbreitung über E-Mail und das KaZaA-Netzwerk

Nach einem eher harmlosen Start verbreitet sich der E-Mail- und P2P-Wurm Fizzer besonders rasant im Internet. Aufgetaucht ist der Wurm bereits am 8. Mai 2003, allerdings wies nichts auf die nun eingetretene explosionsartige Verbreitung hin, die auch erst mehrere Tage später auftrat. Zahlreiche Hersteller von Antiviren-Software warnen übereinstimmend vor diesem Unhold und empfehlen eine möglichst zügige Aktualisierung der entsprechenden Virenscanner.

Artikel veröffentlicht am ,

Der Fizzer-Wurm verbreitet sich per E-Mail sowie über das KaZaA-Netzwerk, horcht Kennwörter ab, enthält einen IRC- und AIM-Bot, worüber ein Angreifer Aktionen ausführen kann, und schmeißt Antiviren-Software aus dem Speicher. Für die Verbreitung über E-Mail nutzt der Schädling eine eigene SMTP-Engine, deren Daten aus den Zugangsdaten des befallenen Systems stammen. Entsprechende E-Mail-Adressen sucht Fizzer im Outlook-Adressbuch sowie in zahlreichen lokalen Dateien und erstellt Mail-Adressen zufällig aus Textbausteinen. Hierbei stehen besonders Mail-Dienste und große Provider im Visier des Wurms, da unter anderem die Domains aol.com, yahoo.com, msn.com, hotmail.com, juno.com sowie earthlink.com auf seiner Liste stehen. Außerdem legt sich der Unhold unter zufällig ausgewählten Dateinamen im KaZaA-Verzeichnis ab, um sich über das P2P-Netzwerk zu verteilen.

Stellenmarkt
  1. Agile Software-Tester (m/w/d)
    TOPdesk Deutschland GmbH, Kaiserslautern
  2. Softwareentwickler Backend (m/w/d)
    eLearning Manufaktur GmbH, Kleve, Düsseldorf (Home-Office möglich)
Detailsuche

Sowohl Betreffzeile als auch der Nachrichtentext der E-Mails wechseln ständig und werden aus englischen und deutschen Wortbausteinen zusammengesetzt. Auch der Dateiname des Anhangs wird zufällig gewählt und trägt entweder die Dateiendung .com, .exe, .pif oder .scr. Erst wenn der Anhang manuell vom Anwender geöffnet wird, aktiviert sich der Unhold und nistet sich im System ein. Da der Wurm sich auch über das KaZaA-Netzwerk verbreitet, genügt natürlich auch ein Doppelklick auf eine derartig infizierte Datei. Nach der Aktivierung legt der Schädling vier Dateien im Windows-Verzeichnis ab und erstellt einen Registry-Eintrag, damit der Wurm bei jedem Rechnerstart ausgeführt wird. Ein weiterer Registry-Eintrag sorgt dafür, dass Fizzer beim Öffnen einer txt-Datei unbemerkt geladen wird.

Als IRC-Bot pingt der Wurm zahlreiche IRC-Server an und meldet sich unter verschiedenen Kennungen in zahlreichen Channels an, so dass ein Angreifer darüber entsprechende Aktionen starten kann. Unter einem zufällig gewählten Namen meldet sich Fizzer beim AOL Instant Messenger (AIM) an und wartet auch hier auf weitere Aktionen eines möglichen Angreifers. Über eine Keylogger-Komponente werden zudem alle Kennwörter am vom Wurm befallenen System abgefangen und in einer verschlüsselten Datei abgelegt, worüber ein Angreifer die entsprechenden Zugangsdaten erhält. Zudem durchsucht der Schädling das System nach laufenden Antiviren-Applikationen und schmeißt diese bei Bedarf aus dem Speicher. Schließlich installiert Fizzer auf Port 81 einen HTTP-Server, worüber ein Angreifer etliche Informationen abfragen kann und horcht an den Ports 2018, 2019, 2020 und 2021, worüber aus der Ferne das System gesteuert werden kann.

Alle Hersteller von Antiviren-Software bieten bereits aktuelle Virensignaturen an, die den Fizzer-Wurm erkennen und unschädlich machen. Außerdem bieten Symantec, BitDefender und McAfee kostenlose Tools als direkten Download an, um den Unhold nach einem Befall vom System zu entfernen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Nachfolger von Windows 10
Windows 11 ist da

Nun ist es offiziell: Microsoft kündigt das neue Windows 11 an. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

Der Nachfolger von Windows 10: Windows 11 ist da
Artikel
  1. EE: Britische Netzbetreiber führen wieder Roaming ein
    EE
    Britische Netzbetreiber führen wieder Roaming ein

    Für britische Mobilfunk-Nutzer ist die Zeit des freien Telefonierens in der EU bald vorbei. EE und zuvor O2 und Three haben Einschränkungen angekündigt.

  2. Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
    Krypto-Betrug in Milliardenhöhe
    Gründer von Africrypt stehlen 69.000 Bitcoin

    Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

  3. Interview: Avatar und die global beleuchteten Mikrodetails von Pandora
    Interview
    Avatar und die global beleuchteten Mikrodetails von Pandora

    Waldplanet statt The Division: Golem.de hat mit dem Technik-Team von Avatar - Frontiers of Pandora über die Snowdrop-Engine gesprochen.
    Ein Interview von Peter Steinlechner

Positive Searcher 03. Mär 2007

Marvellous! That's the site I was looking for!:) http://www.google.greatnow.com

Pana 06. Jun 2004

Hallo fah, mein Mac läuft seit Jahren reparaturfrei. Soviele Viren, Würmer und Gefahren...

Daniel 22. Mai 2003

Na super deine Lösung. ich will dir nur mal ne kleine Denkanregung für deine verqueren...

Stefan 14. Mai 2003

Das ist aber nicht weil dein Mac so überaus sicher und toll ist, sonder weil sich kein...

Horn 14. Mai 2003

Nein! Diese Aussage ist nur auf die Gattung Windows-User zutreffend. Auch wenn ein...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /