IRC-groep onthult geheimen Fizzer-virus

Werkwijze van virusschrijver is bekend

21 mei 2003 | Jeff Ronge Leden van IRC/Unity, een chatgroep over netwerkbeveiliging, hebben ontdekt hoe de schrijver van het Fizzer-virus met zijn programma communiceert. Dat heeft één van de oprichters van de groep bekendgemaakt.

Het Fizzer-virus maakt een verbinding met een geïnfecteerde pc via een willekeurig geselecteerd IRC-netwerk (Internet Relay Chat). Hiervoor beschikt het virus over een lijst van 300 IRC-netwerken. Eenmaal verbonden maakt Fizzer een chatkanaal aan en luistert het virus naar commando's van een specifieke gebruikersnaam. De IRC/Unity-groep ontdekte het algoritme dat bepaalt welke naam dat moet zijn.

"Het is een gebruikersnaam van drie letters die alleen geldig is op een bepaalde datum", vertelt John McGarrigle, de net gekozen voorzitter van de IRC/Unity-groep. Die bestaat uit beheerders van meer dan vijftig verschillende chatnetwerken. "Als je dat algoritme hebt, kan je de IRC-bot, die deel uitmaakt van het Fizzer-virus, controleren.

De ontdekking gebeurde nadat minder dan een week geleden een aantal kleinere IRC-netwerken werden overspoeld met verbindingsaanvragen van geïnfecteerde systemen. Eind vorige week werd de IRC/Unity-groep in het leven geroepen als direct antwoord op de Fizzer-worm. De leden zijn onmiddellijk begonnen met het decompileren van het programma in een poging verdere verspreiding van de worm te voorkomen.

Verschillende IRC-beheerders gebruiken de nu gevonden informatie al door elke met het virus geïnfecteerde pc die verbinding probeert te maken met hun netwerk op te dragen het programma te verwijderen. "Veel netwerken zenden dat commando al naar alle Fizzer-clients, waardoor de bot geheel van de pc wordt gewist", zegt McGarrigle. Het werk van de IRC/Unity-groep zit er echter nog niet op, weet de voorzitter. "We weten nu wel hoe het werkt, maar dat wil niet zeggen dat we de bedreiging hiermee helemaal hebben opgelost."

bron: ZDNet