"Лаборатория Касперского" сообщает
об обнаружении нового интернет-червя "Fizzer".
Помимо рассылки по электронной почте,
данная вредоносная программа содержит
процедуры рассылки через P2P-сеть KaZaA,
клавиатурного "жучка" и троянца для
удаленного управления зараженным
компьютером. На данный момент "Лаборатория
Касперского" уже получила сообщения об
инцидентах, связанных со случаями
заражения "Fizzer". "Fizzer" является
классическим сетевым червем,
распространяющимся по ресурсам интернета.
Эта вредоносная программа доставляется на
целевой компьютер в виде исполняемого
файла и активизируется при его запуске.
После этого на диске создаются 5
дополнительных файлов и модифицируется
секция автозапуска программ системного
реестра Windows для загрузки "Fizzer" при
старте операционной системы. Отличительной,
но отнюдь не уникальной чертой этого червя
является многовекторность: он одинаково
эффективно распространяется по
электронной почте и через файлообменную
сеть KaZaA. Для рассылки по e-mail "Fizzer"
сканирует адресные книги Outlook и Windows (Windows
Address Book) или использует в качестве объекта
атаки случайные адреса в крупнейших
публичных почтовых системах, таких как
hotmail.com и yahoo.com. После этого червь от имени
владельца компьютера незаметно рассылает
зараженные сообщения, которые могут иметь
различные темы, тексты и имена вложенных
файлов. Например: Тема: Re: I think you might find this
amusing... Вложенный файл: Logan6.exe Текст: Let me know what
you think of this... Для распространения по KaZaA "Fizzer"
создает свои копии со случайными именами в
директории этой файлообменной сети, так что
они становятся доступными для других ее
участников. "Fizzer" имеет ряд опасных
побочных эффектов, которые могут
спровоцировать утечку конфиденциальной
информации с зараженного компьютера. Червь
устанавливает клавиатурного "жучка",
который перехватывает и записывает в
отдельный файл все нажатия клавиш. Для
передачи этих и других данных в систему
внедряется backdoor-утилита (утилита
несанкционированного удаленного
управления), которая позволяет
злоумышленникам незаметно контролировать
компьютер через чат-каналы IRC и по
протоколам HTTP и Telnet. Кроме того, червь
регулярно соединяется с web-страницей на
общедоступном сервере Geocities и пытается
загрузить обновленную версию своих
исполняемых модулей. Наконец, для
предотвращения обнаружения, "Fizzer"
сканирует память компьютера и закрывает
активные процессы ряда наиболее популярных
антивирусных программ.
