W32/Fizzer

Die Mails, die Fizzer verschickt, haben zufällig gewählte Betreffzeilen, Mailtexte (teilweise mit deutschen Text-Schnipseln) und Beilagennamen. Die Adressen bezieht der Wurm aus dem Windows- und Outlook-Adressbuch. Ausserdem verschickt sich der Wurm auch an zufällig gewählte Adressen von MSN, Hotmail, Yahoo, AOL, Earthlink, GTE, Juno und NetZero.

Führt der Benutzer eine Wurm-Datei aus, wird in einem temporären Ordner eine Datei namens ISERVC.EXE erstellt und gestartet. Danach platziert der Fizzer-Wurm die Dateien ISERVC.EXE, INITBAK.DAT, ISERVC.DLL und PROGOP.EXE im Windows-Ordner.

Er erstellt folgenden Registry-Eintrag:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"SystemInit" = (Windows-Ordner)\iservc.exe

Der Wurm verändert auch den Eintrag "Standard" in diesem Zweig, indem er dem ursprünglichen Eintrag (NOTEPAD.EXE %1) die Dateien INITBAK.DAT, PROGOP.EXE und ISERVC.EXE hinzufügt:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

Ist auch KaZaA installiert, macht Fizzer den ins Internet freigegebenen Ordner ausfindig und kopiert sich unter zufällig gewählten Dateinamen dort hinein.

Der Wurm frönt dann einigen Spionage-Tätigkeiten: Er zeichnet die Tastatureingaben des Benutzers auf und speichert diese in eine Datei namens ISERVC.KLG, die er im Windows-Ordner anlegt. Aufgrund einer Hintertüre, die er öffnet, könnte sich ein Hacker Zugang zum PC verschaffen und sich dieser Datei bemächtigen. Der Fizzer-Wurm versucht sich mit verschiedenen IRC-Servern (Internet Relay Chat) zu verbinden, wahrscheinlich um den Wurm-Programmierer über das neuste seiner "Opfer" zu informieren und um von ihm Befehle entgegen zu nehmen. Der Wurm enthält gemäss den Informationen von F-Secure auch eine Web-Server-Komponente und lässt sich zudem für so genannte "Denial of Service" Attacken missbrauchen.

Wie es bisher schon andere Viren und Würmer getan haben, beendet auch Fizzer System-Prozesse, die vom Namen her zu Antivirus-Programmen oder zum Taskmanager gehören könnten.

Um den Schädling zu entfernen, bringen Sie zuerst die Registry-Einträge wieder in Ordnung. Der finnische Antivirus-Hersteller F-Secure hat hierfür im unteren Teil seiner Virenbeschreibung einen Registry-Fix bereitgestellt [1]. Laden Sie diesen herunter und doppelklicken Sie ihn. Bestätigen Sie die Frage, ob Sie die Informationen in die Registry übernehmen möchten, mit JA. Starten Sie danach den PC neu und löschen Sie folgende Dateien aus dem Windows-Ordner:

INITBAK.DAT

ISERVC.DLL

ISERVC.EXE

PROGOP.EXE

Aktualisieren Sie Ihren Virenscanner und scannen Sie Ihre Festplatte nach Viren. Falls noch infizierte Dateien gefunden werden, lassen Sie sie löschen. Weitere Informationen über den Fizzer-Wurm finden Sie beispielsweise auch bei Kaspersky [2], Sophos [3], NAI [4] und Panda [5].

Update 12. Mai 2003:

F-Secure will herausgefunden haben, dass sich zumindest die erste bekannte Variante des Fizzer-Wurms von selber "deinstalliert", wenn im Windows-Ordner eine Datei namens "uninstall.pky" vorhanden ist. Dieser Tatsache widerspricht etwa Symantecs erste Beschreibung, die besagt, dass der Fizzer-Wurm selber eine Datei dieses Namens im Windows-Ordner ablegt. Diese beiden gegenläufigen Aussagen wollten wir nicht ungeklärt lassen. Deshalb fragte der PCtip bei Mikko Hyppönen nach, Manager des Viren-Forschungs-Teams bei F-Secure. Er bestätigte, dass der Wurm sich bei ihren Tests wie in der F-Secure-Beschreibung verhalte. So könnte also auch folgendes den Wurm über Bord werfen: Kopieren Sie eine beliebige Datei in den Windows-Ordner und nennen Sie diese Datei uninstall.pky. Und wenn dies nicht hilft, bietet F-Secure ein Beseitigungs-Programm zum Download an.