Classificato con un livello di “rischio medio”, il virus si diffonde tramite e-mail, IRC o Kazaa. Dispone di un motore SMTP per mandare copia di sé stesso via posta elettronica e cerca di disattivare gli antivirus presenti nel computer
12 maggio 2003 Un nuovo worm è stato segnalato dai vari produttori
di antivirus. Si tratta di Worm_Fizzer.A, conosciuto anche come
W32/Fizzer@Mm, W32/Fizzer.A, W32/Fizzer-A o I-Worm.Fizzer. Il
virus si diffonde tramite posta elettronica (arriva come allegato con estensione
exe, pif, com o scr), backdoor IRC o programmi di condivisione file come Kazaa.
Nel caso dell’e-mail sia l’oggetto che il mittente possono variare.
Molto usati sono il subject “why”, “how
are you?”, “You might not appreciate this”,
ma anche diverse parole tedesche. Nel caso delle chat, il virus si connette ai
server IRC collegando i vari canali, dopodiché esegue comandi definiti
da questi canali.
Una volta che il file allegato è stato lanciato, il virus installa vari
file in Windows e precisamente:
initbak.dat, iservc.exe, progop.exe, iservc.dll. Inoltre il
worm crea alcune chiavi nel registro di sistema fra cui una per avviarsi in
automatico con la procedura di avvio del PC (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run “SystemInit” = c:\WINDOWS\ISERVC.EXE). Dotato di un motore SMTP, dopo alcuni
minuti il worm replica sé stesso utilizzando la rubrica di Outlook o
altre liste presenti nel PC.
Il programma cerca di disabilitare gli antivirus andando a terminare i processi
che contengono le seguenti parole: Scan, Taskm, Virus, F-Prot, Vshw,
Antiv, Nmain, Avp, Vss. Inoltre è in grado di registrare in
file di log la sequenza dei caratteri battuti sulla tastiera.
Per capire se il proprio computer è stato infettato, bisogna verificare
la presenza dei file menzionati prima. Un altro “sintomo” è
rappresentato dall’aumento del traffico sulla porta 6667 o 5190.
