Fizzer-virus verspreidt zich razendsnel

Worm verzendt zichzelf via KaZaA, irc-kanalen en mail

12 mei 2003 | Jeff Ronge Verschillende beveiligingsbedrijven waarschuwen voor het Fizzer-virus, dat in korte tijd het predikaat 'gevaarlijk' heeft verdiend. MessageLabs onderschepte sinds 9 mei, toen Fizzer voor het eerst werd gesignaleerd, al ruim 15.000 mailtjes in 65 landen, waaronder Nederland en België.

Het Nederlandse VirusAlert.nl classificeert het virus reeds als 'gevaarlijk'; antivirusbedrijf Network Associates houdt het voorlopig op 'Medium-On-Watch'. Die status geldt voor virussen waar het AVERT-team, dat dit soort ontwikkelingen constant in de gaten houdt, van verwacht dat ze snel naar de status 'High' of zelfs 'Strong' kunnen groeien. Op het moment van schrijven hadden nog niet alle leveranciers van antivirussoftware hun virusdefinities aangepast.

Fizzer is een zogeheten mass mailer internetworm, en kan zich via e-mail, irc-kanalen en ook KaZaA's p2p-netwerk verspreiden. De worm arriveert als een attachment met een .exe-, .pif-, .com- of .scr-extensie. Fizzer beschikt ook over een SMTP-engine, waardoor hij zichzelf kan kopiëren en verzenden via e-mail.

De worm lijkt afkomstig te zijn uit Zuid-Duitsland, al is dit vermoeden enkel gebaseerd op het taalgebruik in sommige van de variabele teksten die de besmette e-mails kunnen bevatten. Een deel van de teksten is echter in het Engels geschreven, dus een echt betrouwbare aanwijzing is dit niet.

De worm bevat verder verschillende componenten die op basis van de systeemklok in gang worden gezet. Zo kan het virus zichzelf versturen naar de gehele Contacts-lijst van Outlook, het Windows Adress Book (WAB), andere adressen die op het systeem worden gevonden of willekeurig gegenereerde adressen. Daarnaast kan Fizzer onder meer een irc- of AIM (AOL Instant Messenger)-bot opstarten, een keylogger in werking laten treden of de antivirussoftware van het systeem uitschakelen.

bron: ZDNet