Bezeichnungen
Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.
Die Bezeichnungen des Schadprogramms Win32/Fizzer.A Wurm
heißen laut einzelner Virenschutzprogramme:
|
Avast
|
Win32:Fizzer
Win32:Fizzer-B
|
|
AVG
|
I-Worm/Fizzer.A
|
|
BitDefender
|
Win32.Fizzer.A@mm
|
|
e-Trust
|
Win32/Fizzer
|
|
F-PROT
|
W32/Fizzer.A@mm
W32/Fizzer.Keylogger
|
|
F-Secure
|
Email-Worm.Win32.Fizzer
|
|
Ikarus
|
Email-Worm.Win32.Fizzer
|
|
Kaspersky
|
Email-Worm.Win32.Fizzer
|
|
McAfee
|
W32/Fizzer.dll(Virus)
W32/Fizzer.gen@MM(Virus)
|
|
Microsoft
|
Win32/Fizzer.A
|
|
NOD32 (ESET)
|
Win32/Fizzer.A
|
|
Panda
|
W32/Fizzer
|
|
Rising Antivirus
|
Worm.P2p.Fizzer
Worm.P2p.Fizzer.pk
|
|
Sophos
|
W32/Fizzer-A
|
|
Trend Micro
|
WORM_FIZZER.A
|
|
VirusBuster
|
Backdoor.Fizzer
I-Worm.Fizzer
Worm.Win32.Fizzer
|
Installation
|
Das Ungeziefer Win32/Fizzer.A Wurm
im Windows-Verzeichnis (laut Grundbedeutung: C:\Windows) erzeugt
folgende Dateien:
- ProgOp.exe
- iservc.exe
- iservc.dll
- initbak.dat
- dat1-2.cab
- iserc.klg
- ProgOp.exe
- iservc.exe
- iservc.dll
- initbak.dat
- dat1-2.cab
- iserc.klg
|
|
Der Schädling Win32/Fizzer.A Wurm
erstellt, bzw. ändert (falls bereits vorhanden) folgende Einträge in der systembeschreibenden Datenbasis:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SystemInit"="C:\WINDOWS\iservc.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command] "@"="C:\WINDOWS\PtogOp.exe 0 7 '%SystemRoot%\system32\NOTEPAD.EXE %1' 'C:\WINDOWS\initbak.dat' 'iservc.exe'"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SystemInit"="C:\WINDOWS\iservc.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command] "@"="C:\WINDOWS\PtogOp.exe 0 7 '%SystemRoot%\system32\NOTEPAD.EXE %1' 'C:\WINDOWS\initbak.dat' 'iservc.exe'"
|
Der Wurm Win32/Fizzer.A erstellt einen Mutex unter dem Namen:
SparkyMutex
.
Der Schädling Win32/Fizzer.A Wurm
stoppt die Prozesse, in deren Namen folgende Wortsplitter vorkommen:
- antiv
- avp
- f-prot
- nav
- nmain
- scan
- taskm
- virus
- vshw
- vss
-
zurück...
E-Mail Nachrichten
Der Schädling Win32/Fizzer.A Wurm
generiert zur eigenen Verbreitung E-Mails und schickt seinen eigenen Code darin weiter.
Der Schädling Wurm
benutzt den Registry-Eintrag:
[HKEY_CURRENT_USER\Software\Microsoft\Intenet Account Manager\Accounts]
in der Registrierung für die SMTP-Serversuche.
|
Der Aufbau der zusammengestellten E-Mail sieht wie folgt aus:
Das Feld Absender |
Der in der E-Mail Adresse des Absenders aufgeführte Benutzer ist einer der folgenden:
- andrew
- Aaliya
- Aaron
- Adrian
- Alexa
- Alexan
- Alexis
- Amanda
- Angel
- Angelin
- Antonio
- Autumn
- Benjamin
- Caitlin
- Cameron
- Christin
- Colby
- Connor
- Destin
- Emma
- Erin
- Gabrielle
- Hunter
- Ian
- Isaac
- Jack
- Jackson
- Jenna
- Jeremy
- Jesus
- Jordan
- Jose
- Juan
- Justin
- Kelsey
- Kevin
- Kylie
- Leah
- Luis
- Mark
- Mason
- Megan
- Melissa
- Mia_u
- Morgan
- Patric
- Rebecca
- Ryan
- Sebastian
- Seth
- Shelby
- Sophia
- WChrist
-
zurück...
|
Das Feld Betreff |
Möglicher Betreff des Briefes:
- And I know
- B cannot remember
- Benjamin
- Bitte keine Skript- oder Botspielereien, kein Betteln nach Voice
- Damn it feels good to be gangsta.
-
Vollständige Liste...
- And I know
- B cannot remember
- Benjamin
- Bitte keine Skript- oder Botspielereien, kein Betteln nach Voice
- Damn it feels good to be gangsta.
- Danke
- Das Wetter ist gut.
- Desktop
- Dreeeeehzahlmesser?? Anweisung Morgen SaTYr dran erinnern, dass er mal Ulf anruft danke ;)
- Du ekelst mich an
- Einzelnen oder einer Gruppe von Usern das Privileg der Nutzung
- Entschuldigen Sie
- Fwd: Alexandri
- Fwd: Angel850
- Fwd: Erin41
- Fwd: Hell
- Fwd: I love you
- Fwd: Paradigm Shift
- Fwd: Patric28
- Fwd: Please discard if you don't like or agree with our present leadership...
- Fwd: Sample Pictures
- Fwd: Sophia723
- Fwd: WASSUP!
- Fwd: You might not appreciate this...
- Fwd: an interesting program...
- Fwd: bis später ;)
- Fwd: da kannst ja gleich einen kuchen auch noch backen ;D
- Fwd: desktop
- Fwd: greatly bad wealth implements knowlege...
- Fwd: imbrue
- Fwd: intriguing beauty imputes the knowlege...
- Fwd: little popup remover
- Fwd: money is a knowlege
- Fwd: oh man, ich habe ja jetzt schon kopfweh
- Fwd: question...
- Fwd: result
- Fwd: see you tomorrow.
- Fwd: the god
- Gut geschlafen?
- Guten Abend
- Hallo, wie geht es dir.
- Hell
- I love you
- I think you might find this amusing...
- I thought this was interesting...
- I wonder what can be so bad
- I wonder what could be so tragic
- Ich bin müde
- Ich habe Hunger.
- Ich liebe Sie
- Ich verstehe nicht.
- Ist das nicht lustig? ;)
- It seem like there's no hope for you
- It's hard to find a hope in life
- It's hard to see beyond your pain
- It's hard to see what you've been given
- It's hard to take what's happening
- Justin676
- Kein Geld für eine Shell ? Dann wird es aber ...
- Know Thyself
- LOL
- Leisure is a money
- Life is tough sometimes
- Makes you want to take your life
- Morgen uggi ;))
- Männlein oder Weiblein?
- Og.. :)
- Paradigm Shift
- Please discard if you don't like or agree with our present leadership...
- Put your savior on the throne
- Put youself up on that cross
- Re: B cannot remember
- Re: Damn it feels good to be gangsta.
- Re: Great happiness
- Re: Guten Abend
- Re: I think you might find this amusing...
- Re: Ian8
- Re: Jeremy
- Re: Kelsey955
- Re: LOL
- Re: Mason43
- Re: Please discard if you don't like or agree with our present leadership...
- Re: WASSUP!
- Re: desktop
- Re: desktop.ini
- Re: found this on the net, you might like it...
- Re: hierzu kann ich nur anmerken das fix nen Bettnässer ist
- Re: how are you?
- Re: imbrue
- Re: lach
- Re: moin uk-world
- Re: question...
- Re: rather psychedelic...
- Re: why?
- Re: you need to lose weight.
- Sandy es freut mich sehr, dass du heut so gut drauf bist ;)
- Sie wollen wohl
- That it makes you want to die
- The philosophy
- The way I feel - Remy Shand
- Trinity
- WASSUP!
- Wer ist hier das Schaf?
- When you feel so dead inside
- While you sit on the throne
- Wie geht es Ihnen?
- Yo, WASSUP, B?
- You have your savior on the cross
- You might not appreciate this...
- Your life is worth more than you can say
- ach so
- alttext[1].xml
- an interesting program...
- bis später ;)
- brb...
- check it out.
- check this out... hehehe
- da kannst ja gleich einen kuchen auch noch backen ;D
- die dich nur anschnautzen kann und sonst nix ;)
- die zu uns gefunden haben ;(
- discoth
- discotheque
- er spricht deutsch
- erstmal unter die dusche ..
- filth initiates incredibly terrible filth. :(
- found this on the net, you might like it...
- guten morgen ;)
- heidelbeerkuchen ;)
- hierzu kann ich nur anmerken das fix nen Bettn
- hierzu kann ich nur anmerken das fix nen Bettnässer ist
- hlt Euch wohl aber benehmt euch bitte
- hmm sandy und backen ???
- how are you?
- huhu Camper ;))
- ich geh jetz arbeiten
- ich muss dann mal los
- imbrue
- jo Camper, das kann ich auch ;)
- kind of simple, but fun nonetheless.
- koi luscht zum schaffe ;()
- lautlach
- little popup remover
- mach ich ;)
- moin lim
- moin uk-world
- oh man, ich habe ja jetzt schon kopfweh
- ohje ;)
- question...
- rather psychedelic...
- schmoll
- see you tomorrow.
- siehste Camper und ich dachte immer sandy wär eine neumoderne hausfrau
- strafrechtliche Verfolgung nach sich ziehen.
- uuuiihh, schön dass du dich zu uns gesellst
- wenn was ist, wisst ihr wo ich erreichbar bin
- wer hat schon gern nen Gandalfspargel im Hintern sfg
- why?
- you need to lose weight.
-
zurück...
In das Feld Subject des Briefes wird ein zufällig generierter Text eingefügt,
|
Das Feld Anhang |
Der erste Teil des Namens der von Wurm
geschickten E-Mail Anlage wird aus folgenden Wörtern zusammengesetzt:
- Desktop
- Help
- Sample Music
- Sample Pictures
- WinTask
- alttext[1]
- defaultsettings[1]
- desktop
- index
- regmon0
- result
- reusable[1]
- shared[1]
- andrew
- Aaliya
- Aaron
- Adrian
- Alexa
- Alexan
- Alexis
- Amanda
- Angel
- Angeli
- Antoni
- Autumn
- Benjam
- Caitli
- Camero
- Christ
- Colby
- Connor
- Destin
- Emma
- Erin
- Gabrie
- Hunter
- Ian
- Isaac
- Jack
- Jackso
- Jenna
- Jeremy
- Jesus
- Jordan
- Jose
- Juan
- Justin
- Kelsey
- Kevin
- Kylie
- Leah
- Luis
- Mark
- Mason
- Megan
- Meliss
- Mia_u
- Morgan
- Patric
- Rebecc
- Ryan
- Sebast
- Seth
- Shelby
- Sophia
- WChris
-
zurück...
Der zweite Teil des Namens der von Wurm
geschickten E-Mail Anlage wird aus zufälligen Ziffern zusammengestellt.
Der durch den Wurm
verschickte Anhang der E-Mail kann folgende Erweiterung haben:
- com
- exe
- pif
- scr
- ini.com
- ini.exe
- ini.pif
- ini.scr
- log.com
- log.exe
- log.scr
- log.pif
- xml.com
- xml.exe
- xml.pif
- xml.scr
-
zurück...
|
|
Backdoor
Der Schädling Win32/Fizzer.A Wurm
öffnet an folgenden Schnittstellen (Ports) Backdoors:
Der Schädling Win32/Fizzer.A Wurm
schließt sich folgender IRC-Server an:
- irc.awesomechat.net
- irc.blueshadownet.org
- irc.chatlands.org
- irc.darkmyst.org
- irc.exodusirc.net
- irc.hemmet.chalmers.se
- irc.mirc.gr
- irc.awesomechat.net
- irc.blueshadownet.org
- irc.chatlands.org
- irc.darkmyst.org
- irc.exodusirc.net
- irc.hemmet.chalmers.se
- irc.mirc.gr
Der Schädling Win32/Fizzer.A Wurm
verwendet das Chatprogramm:
AOL Instant Messenger
.
Sonstiges
Der Programm-Code des Wurm
Win32/Fizzer.A enthält folgenden, nie erscheinenden Texte:
Sparky will reign.
