Fizzer : un ver multi-vecteur qui attaque via le courrier électronique et KaZaA.

Fizzer : un ver multi-vecteur qui attaque via le courrier électronique et KaZaA.

Kaspersky Labs, concepteur de logiciels de sécurité informatique, a détecté un nouveau ver Internet : Fizzer. Ce ver est capable de se transmettre via courrier électronique et via le réseau d'échange de fichiers KaZaA. Il intègre un logiciel d'espionnage du clavier et un cheval de Troie rendant possible la commande à distance de l'ordinateur infecté. Pour le moment Kaspersky Labs a déjà reçu des messages relatant des incidents liés aux cas de contamination par "Fizzer".

"Fizzer" est un ver de réseau classique qui se transmet par Internet. Il arrive sur l'ordinateur sous forme de fichier exécutable et s'active à son lancement. Après cela, 5 nouveaux fichiers sont crées, et la section de démarrage de la base du registre de Windows se trouve modifiée de façon à ce que "Fizzer" puisse se charger automatiquement au démarrage du système d'exploitation.

Il est multi-vecteur car il est capable de se propager via courrier électronique ou via le réseau de P2P KaZaA. Pour sa diffusion via courrier électronique, Fizzer scanne les carnets d'adresses Outlook et Windows (Windows Address Book) ou prend pour cible les adresses choisies de façon aléatoire dans les plus grands systèmes publics de courrier électronique, tels que hotmail.com et yahoo.com. Après cela, le ver se transmet imperceptiblement pour le propriétaire de l'ordinateur infecté, par le moyen de courriers électronique ayant des objets, des textes ainsi que des pièces jointes diverses.

Exemple :

Sujet: Re: Je pense que tu trouveras cela amusant...

Pièce jointe: Logan6.exe

Texte: Fais moi savoir ce que tu penses de ceci...

Pour pouvoir être diffusé par KaZaA, Fizzer se copie dans des fichiers dont les noms sont similaires à ceux présents dans la base de données de ce réseau. Ainsi leurrés, les victimes croyant télécharger le fichier qu'ils recherchent, téléchargent en fait Fizzer

"Fizzer" a une série d'effets secondaires dangereux, qui peuvent provoquer la fuite d'informations confidentielles présentes sur l'ordinateur infecté. Ainsi le clavier est mis sous surveillance: toutes les pressions effectuées sur ses touches sont enregistrées dans un fichier particulier. Ces données sont ensuite transmises grâce à un utilitaire de gestion à distance (backdoor) qui permet aux pirates de contrôler l'ordinateur infecté par le biais des canaux IRC et des protocoles Http et Telnet. En outre ce ver se connecte régulièrement aux serveurs accessibles de Geocities, à la recherche d'une de ses éventuelles mises à jour. Enfin, pour empêcher sa détection, "Fizzer" scanne la mémoire de l'ordinateur et ferme tous les processus actifs des programmes antiviraux les plus populaires.

La protection contre "Fizzer" a été ajoutée à la base de données de Kaspersky Anti-Virus.

Une description plus détaillée de ce ver est disponible dans l'Encyclopédie Antivirale de Kaspersky Labs.

12.05.2003

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.