Tudo sobre a categoria mais emocionante dos EUA
   
 
 
Home | Biblioteca | Calendário | Download | Literatura | Notícias | Segurança | Vacinas | Virus |

 Livro de Visita

 Pesquisa Vírus

 Alertas de Vírus

 Mapa Mundi

 Testes de AV

 Vírus Reais

 Portas de Trojans

 Notícias da Web

 White Papers

 Rede Segura

 Zone Alarme
Seção ACHA-VÍRUS da VÍRUS ALERTA
Biblioteca de Vírus Acha Vírus
Vírus encontrados em nossa base-de-dados:
Nome do VírusVírus do tipoOrigemData de Ataque
W32/FIZZER@mm WORM desconhecida qualquer dia
Descrição Resumida:
Uma nova praga, que se propaga via e-mail e também ataca o sistema de troca de arquivos online
KaZaA, está se disseminando pelo mundo.

Com o nome de W32/Fizzer, a ameaça utiliza de diversas táticas perigosas para se infiltrar na rede,
como um key logger e um programa do tipo Cavalo de Tróia, para se apoderar remotamente das
máquinas infectadas. Na verdade o vírus possui nove processos diferentes, e um relógio interno,
responsável por disparar os processos em momentos diferentes.

1. Coleta de endereços de e-mail de diferentes locais da máquina contaminada, para uso em sua
rotina de envio de e-mails em massa: Outlook Contacts list; Windows Address Book (WAB);
Endereços encontrados no sistema local
2. IRC bot (Internet Relay Chat)
3. AIM bot (AOL Instant Messenger)
4. Keylogger
5. KaZaa worm
6. HTTP server
7. Servidor de Acesso Remoto
8. Mecanismo de auto-atualização
9. Terminador de software Anti-vírus

O Fizzer chega aos computadores por meio de um arquivo executável que é ativado quando o usuário
o executa, criando cinco arquivos adicionais, além de modificar um registro do Windows que faz com
que o intruso seja carregado cada vez que se inicie o sistema operacional.

Para se auto enviar, o Fizzer vasculha endereços no Outlook da vítima, no Adress Book do Windows ou
ataca o sistema aleatoriamente por meio de serviços públicos de e-mails como Hotmail e Yahoo.
Sistemas de Internet Relay Chat (IRC), o AOL Instant Messenger (AIM), servidores HTTP e de acesso
remoto também estão na mira da praga.

Em seguida, a praga utiliza o nome do dono da máquina infectada e envia mensagens usando
diferentes assuntos como abaixo indicado:

Assunto: why?
Mensagem: The peace
Anexo: desktop.scr

Assunto: Re: You might not appreciate this...
Mensagem: lautlach
Anexo: service.scr

Assunto: Re: how are you?
Mensagem: I sent this program (Sparky) from anonymous places on the net
Anexo: Jesse20.exe

Assunto: Fwd: Mariss995
Mensagem: There is only one good, knowledge, and one evil, ignorance.
Anexo: Mariss995.exe

Assunto: Re: The way I feel - Remy Shand
Mensagem: Nein
Anexo: Jordan6.pif

O worm ao executar pela primeira vez, checa a existência de um arquivo de nome UNINSTALL.PKY, na
pasta do Windows. Se tal arquivo for encontrado o worm encerra sua operação, e não faz uma nova
contaminação da máquina. De outro modo ele extrai diversos arquivos, todos gravados nessa mesma
pasta:

initbak.dat - cópia do código viral do worm
iservc.exe - cópia do código viral do worm
ProgOp.exe (15.360 bytes) - Manipulador de processos
iservc.dll (7,680 bytes) - Responsável pelo relógio interno e por fazer o keylogger do teclado.

O worm cria uma chave no Registro, para que seja sempre executado, a cada reinicialização da
máquina:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"SystemInit" = C:\WINDOWS\ISERVC.EXE

Ele também altera a manipulação de arquivos de extensão .TXT, o que faz que a cada abertura de um
arquivo .TXT o worm é executado:

HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default)=C:\WINDOWS\ProgOp.exe 0 7 C:\WINDOWS\NOTEPAD.EXE %1
C:\WINDOWS\initbak.dat C:\WINDOWS\ISERVC.EXE

Ele cria uma classe em CLASSES ROOT, com uma associação similar:
HKEY_CLASSES_ROOT \Applications \ProgOp.exe

Nos sistemas Windows NT/2K/XP o worm cria o serviço S1TRACE.

No KaZaA, o Fizzer cria múltiplas cópias de si mesmo com diferentes nomes e implanta os arquivos na
máquina infectada por meio da pasta de arquivos compartilhados do KaZaA. Desta forma, o Fizzer
torna-se disponível para todos os outros usuários que estiverem na rede.

O Fizzer também carrega um sistema que pode revelar dados confidenciais das máquinas infectadas.
Para tanto, instala um sistema de varredura chamado key logger, que captura as informações
digitadas pela vítima, armazenando-as em um arquivo denominado iservc.klg, dentro do diretório do
Windows.
Apelidos/Variantes: Fizzer, W32.HLLW.Fizzer@mm, W32/Fizzer-A, W32/Fizzer.gen@MM, Worm/Fizzu.A, WORM_FIZZER.A
Ir para a Biblioteca Técnica
Total de 1 vírus encontrados...

Atenção: não podemos dar suporte diretamente para os internautas
use nosso FÓRUM VÍRUS ALERTA para poder enviar suas dúvidas;
Desejando um suporte diferenciado, associe-se ao Clube do Help Desk;

Suporte|Cadastro|Consultoria|Quem Somos|

 

 
HomePesquisasComo AgemMacro-VírusMapa MundiSafe ModeSegurança Pró-ativaTestes de AVVírus ReaisWhite Papers |

Atenção: não podemos dar suporte diretamente para os internautas; use nosso FÓRUM VÍRUS ALERTA para suas dúvidas;
Desejando um suporte diferenciado e específico para suas necessidades, associe-se ao Clube do Help Desk.