Alert: W32.HLLW.Fizzer

peppoweb

Utente Attivo
QUATTRO GIORNI DI DIFFUSIONE

Dopo essere partita in sordina, l'infezione via Internet del worm W32.HLLW.Fizzer sta aumentando di intensita' tanto che il Symantec Security Response ha portato il livello di attenzione sulla sua diffusione da 2 a 3, in una scala dove 5 e' il massimo grado di allerta.

COS'E' FIZZER

Si tratta di un nuovo worm che sfrutta la posta elettronica per diffondersi su tutti i sistemi Windows. Porta con se' anche una backdoor che gli consente di comunicare con il suo autore attraverso mIRC (il celebre software per l'uso delle chat room di IRC) e contiene un keylogger, ossia un programma capace di registrare i tasti premuti dall'utente e inviare questi dati all'autore del programma. Dati che possono contenere password e codici di protezione.

COME RICONOSCERLO

Fizzer utilizza tutti gli indirizzi di posta elettronica che trova nella Rubrica di Windows per spedirsi attraverso email infette a quanti piu' utenti possibile.
Il messaggio che trasporta Fizzer si maschera dietro un soggetto e un testo che cambiano di volta in volta, sebbene siano sempre scritti in inglese.
Ma l'email infetta puo' essere riconosciuta dal suo allegato, un file la cui estensione e': .exe, .pif, .com oppure .scr.
Si tratta di tipi di file che quando arrivano inattesi via email non dovrebbero in nessun caso essere aperti dall'utente.

COME DIFENDERSI

La prima regola e' sempre quella di dotarsi di un buon software antivirus e di procedere al piu' presto al suo aggiornamento. Tutte le maggiori case hanno gia' predisposto gli strumenti adatti a impedire la propagazione del worm. Gli utenti del Norton AntiVirus possono attivare la funzione di LiveUpdate per scaricare in automatico gli aggiornamenti.

ULTERIORI INFORMAZIONI

Il Symantec Security Response ha pubblicato una pagina dedicata al worm Fizzer, disponibile a questo indirizzo:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
 
Una volta che il file allegato è stato lanciato, il virus installa vari file in Windows e precisamente:
initbak.dat, iservc.exe, progop.exe, iservc.dll. Inoltre il worm crea alcune chiavi nel registro di sistema fra cui una per avviarsi in automatico con la procedura di avvio del PC (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run “SystemInit” = c:\WINDOWS\ISERVC.EXE). Dotato di un motore SMTP, dopo alcuni minuti il worm replica sé stesso utilizzando la rubrica di Outlook o altre liste presenti nel PC.

Il programma cerca di disabilitare gli antivirus andando a terminare i processi che contengono le seguenti parole: Scan, Taskm, Virus, F-Prot, Vshw, Antiv, Nmain, Avp, Vss. Inoltre è in grado di registrare in file di log la sequenza dei caratteri battuti sulla tastiera.
Per capire se il proprio computer è stato infettato, bisogna verificare la presenza dei file menzionati prima. Un altro “sintomo” è rappresentato dall'aumento del traffico sulla porta 6667 o 5190.
 

Discussioni simili