© Virusalert schaal

  • Innovatie: 20
  • Besturing: 45
  • Logistiek: 20
  • Schade: 30
  • Schaal: 29
  • Aanduiding: gevaarlijk

W32.Fizzer@MM

  • Type internet worm
  • Besturingssysteem Microsoft Windows
  • Risico middel
  • Bron (c) 2003, VirusAlert
  • Alias Fizzer W32/Fizzer W32/Fizzer-A W32/Fizzer.gen@MM W32.HLLW.Fizzer@mm Worm/Fizzu.A
  • Preventie De worm heeft een SMTP engine en gebruikt de default SMTP server als een gespecificeerde internet Account Manager registatie instellingen. De worm komt binnen als een email attachment aan verschillende soorten berichten. Berichten en onderwerpen verschillen per email. Attachments van de berichten gebruiken de volgende standaard extensies (.com, .exe, .pif, .scr) : Als de attachment wordt geactiveerd dan haalt het verschillende bestanden uit de WINDOWS (%WinDir%) directory. Namelijk: · initbak.dat (220,160 bytes) – een kopie van de worm · iservc.exe (220,160 bytes) – een kopie van de worm · ProgOp.exe (15,360 bytes) – een proces handeling · iservc.dll (7,680 bytes) – behandeld wanneer het start en windows aanhaking de worm creëert een registratie sleutel om zichzelf te laden en te starten: · HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "SystemInit" = C:\WINDOWS\ISERVC.EXE Het modificeert ook de behandelende bestanden met een .TXT extensie, zodat als TXT wordt gestart de worm ook wordt opgestart: · HKEY_CLASSES_ROOT\txtfile\shell\open\command "(Default)" = C:\WINDOWS\ProgOp.exe 0 7 'C:\WINDOWS\NOTEPAD.EXE %1' 'C:\WINDOWS\initbak.dat' 'C:\WINDOWS\ISERVC.EXE' Het creëert een nieuwe CLASSES ROOT sleutel: · HKEY_CLASSES_ROOT\Applications\ProgOp.exe Op WinNT/2K/XP systemen creëert de worm een service genaamd S1TRACE
  • Verwijderinstructie 1a. Verwijder het virus met de gratis online scanner van McAfee, klik hier en/of: 1b. Verwijder het virus met de gratis verwijderingstool van Bitdefender, klik hier (Er wordt gevraagd om een bestand te downloaden, plaats deze op uw systeem en open het .exe bestand) 1c. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1a. 1d. Controleer de werking van geinstalleerde security-software. Deze kan door het virus zijn afgesloten. 2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig. Aanpassen van de registry? Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten. 3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af. Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter. De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk. 3.B. Klik op start en klik dan via programma's op MSDOS prompt. Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan. Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter. Type daar dan copy regedit.exe regedit.com (letterlijk: copy[spatie]regedit.exe[spatie]regedit.com) en druk dan op enter. Type daarna start regedit.com (letterlijk: start[spatie]regedit.com) en druk dan weer op enter. Note voor XP-gebruikers Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows 3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren. 3.D. - Aanpassen van het register. Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel: - Zie specificatie boven onder "herkenning van besmetting". - Verwijder beide genoemde registry-sleutels. 3.E. Sluit vervolgens dit venster. 3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op. 3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

[update 12-5-03 20.00 Gratis verwijderingstool beschikbaar zie hieronder]

Fizzer is een mass-mailer internetworm die zich verspreidt naar ondermeer alle contacten in het adressenboek van Microsoft Outlook. Na infectie, handmatig door het bijlagebestand te openen, installeert het een backdoor op het getroffen systeem. Daarmee is de virusschrijver/cracker in staat om controle uit te oefenen op het systeem.

Fizzer verstuurt zich via e-mail onder tamelijk wisselende eigenschappen en is daarmee lastig te herkennen.

Heeft u een e-mail ontvangen en vermoedt u dat dit W32.Fizzer zou kunnen zijn?

Stuur deze dan gratis door naar het e-mailadres: cleanport@virusalert.nl
U krijgt dan automatisch een bericht terug.
Deze dienst wordt u aangeboden i.s.m. CleanPort MEF.
Letwel: Voor dat u een bericht doorstuurt moet u er zeker van zijn dat dit bericht tijdens het doorsturen niet automatisch wordt geopend.
Installeer daarom eerst alle benodigde security-patches van Windows, doe dit eenvoudig en gratis via de website van Microsoft, klik hier..

Fizzer heeft verschillende componenten en een interne klok om meerdere en verschillende processen in gang te zetten. Deze zijn:
1. Mass-mailing zichzelf naar verschillende adressen vergaard van de volgende plaatsen:
o Outlook Contacts list
o Windows Address Book (WAB)
o Addresses found on the local system
o Randomly manufactured addresses
2. IRC bot (Internet Relay Chat)
3. AIM bot (AOL Instant Messenger)
4. Keylogger
5. KaZaa worm
6. HTTP server
7. Anti-virus software termination

Eigenschappen van het e-mailbericht:

* Onderwerp:
OF/OF:
why?
Re: You might not appreciate this…
Re: how are you?
Fwd: Mariss995
Re: The way I feel – Remy Shand
ach so
an interesting program…
And I know
B cannot remember
bis später 😉
Bitte keine Skript- oder Botspielereien, kein Betteln nach Voice
brb…
check it out.
check this out… hehehe
da kannst ja gleich einen kuchen auch noch backen ;D
Damn it feels good to be gangsta.
Danke
Das Wetter ist gut.
die dich nur anschnautzen kann und sonst nix 😉
die zu uns gefunden haben ;(
discoth
Dreeeeehzahlmesser?? Anweisung Morgen SaTYr dran erinnern, dass er mal Ulf anruft danke 😉
du dich zu uns gesellst
Du ekelst mich an
Einzelnen oder einer Gruppe von Usern das Privileg der Nutzung
Entschuldigen Sie
er spricht deutsch
erstmal unter die dusche ..
found this on the net, you might like it…
Gut geschlafen?
Guten Abend
guten morgen 😉
Hallo, wie geht es dir.
hält Euch wohl aber benehmt euch bitte
heidelbeerkuchen 😉
hierzu kann ich nur anmerken das fix nen Bettn
hmm sandy und backen ???
how are you?
huhu Camper ;))
I love you
I think you might find this amusing…
I thought this was interesting…
I wonder what can be so bad
I wonder what could be so tragic
Ich bin müde
Ich habe Hunger.
Ich liebe Sie
ich muss dann mal los
Ich verstehe nicht.
imbrue
Ist das nicht lustig? 😉
It seem like there’s no hope for you
It’s hard to find a hope in life
It’s hard to see beyond your pain
It’s hard to see what you’ve been given
It’s hard to take what’s happening
jo Camper, das kann ich auch 😉
Kein Geld für eine Shell ? Dann wird es aber …
kind of simple, but fun nonetheless.
Know Thyself
koi luscht zum schaffe ;()
lautlach
Life is tough sometimes
little popup remover
mach ich 😉
Makes you want to take your life
Männlein oder Weiblein?
moin lim
moin uk-world
Morgen uggi ;))
Og.. 🙂
oh man, ich habe ja jetzt schon kopfweh
ohje 😉
Paradigm Shift
Please discard if you don’t like or agree with our present leadership…
Put your savior on the throne
Put youself up on that cross
question…
rather psychedelic…
Sandy es freut mich sehr, dass du heut so gut drauf bist 😉
schmoll
see you tomorrow.
Sie wollen wohl
siehste Camper und ich dachte immer sandy wär eine neumoderne hausfrau
sser ist
strafrechtliche Verfolgung nach sich ziehen.
That it makes you want to die
The way I feel – Remy Shand
uuuiihh, schön
WASSUP!
wenn was ist, wisst ihr wo ich erreichbar bin
wer hat schon gern nen Gandalfspargel im Hintern sfg
Wer ist hier das Schaf?
When you feel so dead inside
While you sit on the throne
Wie geht es Ihnen?
Yo, WASSUP, B?
You have your savior on the cross
You might not appreciate this…
you need to lose weight.
Your life is worth more than you can say

* Tekst van het bericht:
OF/OF:
The peace
lautlach
There is only one good, knowledge, and one evil, ignorance.
Nein
delete this as soon as you look at it…
Did you ever stop to think that viruses are good for the economy? Maybe the primary creators of the world’s worst viruses are the companies that make the Anti-Virus software.
If you don’t like it, just delete it.
I sent this program (Sparky) from anonymous places on the net.
Let me know what you think of this…
so, how are you?
the attachment is only for you to look at
The way to gain a good reputation is to endeavor to be what you desire to appear.
There is only one good, knowledge, and one evil, ignorance.
thought I’d let you know
Today is a good day to die…
Watchin’ the game, having a bud.
you don’t have to if you don’t want to.
you must not show this to anyone…

* Naam bijlagebestand:
OF/OF:
desktop.scr
service.scr
Jesse20.exe
Mariss995.exe
Jordan6.pif