Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt vor dem neu entdeckten Internet-Wurm Fizzer. Dieser Wurm verschickt seine Kopien nicht nur über eMails, sondern enthält auch Prozeduren zu einer Verbreitung über das P2P-Netzwerk KaZaA, sowie einen Keylogger und einen Trojaner zu einer entfernten Kontrolle über den infizierten Computer.
Zur Zeit sind Kaspersky Labs bereits mehrere Fälle von Infizierungen durch Fizzer bekannt geworden.

Fizzer ist ein klassischer Internet-Wurm. Diese Malware gelangt als ausführbare Datei auf den anvisierten Computer und aktiviert sich, wenn diese gestartet wird. Danach werden auf der Festplatte 5 zusätzliche Dateien erstellt und die Autorun-Sektion des Windows-Systemregisters wird modifiziert, um Fizzer beim Starten des Betriebssystems zu laden.

Ein besonderes Merkmal dieses Wurms (das jedoch keineswegs einzigartig ist) besteht darin, dass er sich über zwei Wege gleich effizient verbreiten kann: Über eMails und über KaZaA.
Zur Versendung seiner Kopien per eMail, durchsucht Fizzer die Adressverzeichnisse von Outlook und Windows (Windows Address Book) oder benutzt zufällig ausgewählte Adressen aus den größten öffentlichen eMail-Systemen, wie z.B. Hotmail und Yahoo, als Zielscheibe. Danach verschickt der Wurm von infizierten Computern eMails, mit dem Absender des jeweiligen Besitzers. Diese können unterschiedliche Betreffzeilen, Bodys und Namen der angehängten Dateien haben. Z.B.:

• Betreff: Re: I think you might find this amusing...
• Angehängte Datei: Logan6.exe
• Body: Let me know what you think of this...

Zur Verbreitung über KaZaA erstellt Fizzer seine Kopien und stellt diese unter zufällig gewählten Namen in das Verzeichnis des P2P-Netzwerks, sodass sie für andere User zugänglich werden.

Fizzer hat eine ganze Reihe gefährlicher 'Nebenwirkungen', welche zur Verbreitung vertraulicher Informationen aus infizierten Computern führen können. Der Wurm installiert einen Keylogger, welcher alle Betätigungen der Tastatur abfängt und in einer eigenen Datei abspeichert. Um diese und andere Daten weiterzuleiten, wird ein Backdoor-Utility installiert (zur unautorisierten entfernten Kontrolle), welches Hackern die Möglichkeit gibt, über IRC-Chat-Channels und über HTTP-Protokolle und Tenet unbemerkt Kontrolle über den Computer auszuüben. Zudem stellt der Wurm regelmäßig eine Verbindung zu einer Web-Seite auf dem allgemein zugänglichen Server Geocities her und versucht von dort eine aktualisierte Version seiner ausführbaren Moduls herunterzuladen. Und, um einer Entdeckung zu entgehen, scannt Fizzer den Speicher des Computers durch und schließt die aktiven Vorgänge einiger der gängigsten Antiviren-Programme.

Ein Schutz vor Fizzer ist bereits der Antiviren-Datenbank von Kaspersky Anti-Virus hinzugefügt worden.

Detailliertere Informationen über Fizzer finden Sie in der Kaspersky Virus Encyclopedia