Le ver Fizzer se déploie en toute autonomie
Par JDNet Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0305/030514_fizzer.shtml
Lancer l'impression

Mercredi 14 mai 2003

En savoir plus
Un ver d'un type nouveau vient de faire son apparition. Dénommé Fizzer, il est composé d'éléments qui n'ont jusqu'à présent que très rarement été réunis au sein d'un même code malveillant : un serveur HTTP, un moteur SMTP, un cheval de Troie aspirateur de mots de passe (key logger), des mécanismes d'attaque d'antivirus et de connexion à mIRC et AOL Instant Messenger en font un cocktail très explosif.

Se propageant via Kazaa (le client peer-to-peer) et par mail (avec pièces attachées), le ver aurait contaminé depuis le 8 mai dernier - date de ses premières apparitions en Asie - quelque 55.000 machines, selon F-Secure.
Une autonomie presque parfaite
"C'est la présence d'un serveur HTTP autonome, sur le port 81, qui nous a décidé à passer ce ver au niveau d'alerte maximum, la menace nous semblant vraiment sérieuse", déclare Eugenio Correnti, directeur technique chez F-Secure France. Pour le moment, les chercheurs de cet éditeur d'antivirus étudient le rôle précis joué par ce serveur intégré, mais il y a fort à parier que sa fonction soit, entre autres, de faire en sorte que de futures victimes du ver puissent se connecter sur une machine déjà infectée pour télécharger le code...

Sa capacité à se mettre à jour par différents moyens, donc à recevoir de nouvelles instructions de la part de son ou de ses créateurs, suscite également beaucoup d'inquiétude. Le ver est en effet capable de se connecter à mIRC (client Internet Relay Chat), à AOL Instant Messenger et, selon les dernières informations connues, sur un compte hébergé par Geocities.

Capacité à attaquer les antivirus et mass-mailing aléatoire
Le ver possède par ailleurs des fonctionnalités "retro-vrius", c'est-à-dire capables d'attaquer et de désactiver les logiciels antivirus en place. Les extensions visées sont : Antiv, Avp, F-Prot, Nmain, Scan, Taskm, Virus, Vshw, Vss, soit les principaux logiciels du marché.
En savoir plus
Possédant son propre moteur SMTP, ses capacités de connexion peuvent potentiellement être le point de départ d'une attaque en Déni de Service en règle. Le ver est également capable de générer de manière aléatoire ses propres adresses mail sur des comptes @hotmail.com, @yahoo.com ou @earthlink.com, y rajoutant au hasard des noms anglais ou allemands pré-enregistrés.

D'ores et déjà, les principaux éditeurs d'anti-virus que nous avons consultés (F-Secure, Symantec, Network Associates, Trend Micro...) ont mis à disposition des mises à jour et des outils pour se débarraser du ver.

Carte d'identité de Fizzer

- Type : ver 32 bits
- Taille : variable
- Systèmes affectés : à partir de Windows 95
- Fichiers installés dans les répertories Windows en cas d'infection :
ISERVC.EXE
 PROGOP.EXE
INITBAK.DAT (copie du ver)
ISERVC.DLL (copie du ver)

- Propagation par email : carnet d'adresses Windows (.wab), liste de contacts Outlook, adresses trouvées dans le système, adresses aléatoires
- Extension des pièces attachées : .exe, .com, .pif ou .scr

- Clé du registre ajoutée :
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avec ajout de la valeur : "SystemInit"="%windir%\iservc.exe"
- Clé du registre modifée :
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command


[Fabrice Deblock, JDNet]

Pour tout problème de consultation, écrivez au Webmaster
Copyrights et reproductions . Données personnelles
 Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE