I-Wurm Fizzer kommt per Mail und KaZaa

Kaspersky Labs warnt vor einem Wurm namens Fizzer, der sich über E-Mail und die P2P-Tauschbörse Kazaa verbreitet. Fizzer bringt einen Keylogger und einen Trojaner mit, der die Kontrolle des infizierten Rechners ermöglicht.

Laut Kaspersky Labs sind bereits mehrere Fälle von Infizierungen durch Fizzer bekannt. Der klassische Internet-Wurm kommt als ausführbare Datei und bedarf der Aktivierung durch den Benutzer.

Nach Recherche von Kaspersky Labs erstellt der Wurm auf der Festplatte fünf zusätzliche Dateien und modifiziert die Autorun-Sektion des Windows-Systemregisters. Zum Versand via Mail nutzt Fizzer die Adressbücher von Outlook und Windows (Windows-Adressbuch) oder benutzt zufällig ausgewählte Adressen von E-Mail-Diensten wie Hotmail und Yahoo. Die Mails haben unterschiedliche Betreffzeilen, Texte und Namen, zum Beispiel: "Betreff: Re: I think you might find this amusing..."

Zur Verbreitung über KaZaa erstellt Fizzer Kopien und stellt diese unter zufällig gewählten Namen in das lokale Verzeichnis des P2P-Netzwerks, wo sie für andere KaZaa-Benutzer zugänglich werden.

Das Gefahrenpotenzial ist durch die mitgeführten Werkzeuge wie den Keylogger, der Tastatureingaben abfängt und speichert, und ein Backdoor-Utility zum Versand der Informationen immens. Ein Angreifer könnte laut Kaspersky über IRC-Chat-Channels, HTTP-Protokolle und Telnet unbemerkt Kontrolle über den Rechner erlangen.

Der Wurm soll zudem regelmäßig Verbindung zu einer Webseite auf dem allgemein zugänglichen Server von Geocities herstellen, von wo er eine aktualisierte Version seiner ausführbaren Module herunterzuladen versucht.

Um sich zu tarnen, scannt Fizzer den Speicher des Computers und schließt Prozesse der gängigen Antivirenprogramme. Mit den neuen Signaturen der Antivirenhersteller sollte der Wurm erkannt werden. Kaspersky verweist auf diese Webseite für weitere Informationen zu Fizzer. (uba)