msn.com, hotmail.com, yahoo.com, aol.com, earthlink.net, gte.net, juno.com, netzero.com
Email тема, текст сообщения и имя вложения случайно построен, и поэтому являются весьма неоднозначными. Навесное имена расширением EXE, COM, PIF и SCR. Зараженный файл может также иметь двойное расширение в сочетании с INI таково INI.EXE.
Win32: Fizzer содержит два Backdoors (IRC и AOL), отказ в обслуживании инструмент, кейлоггеров и даже небольшой веб-сервер. Он также имеет возможность автоматического обновления через веб-сервер, который в настоящее время закрыты.
При запуске, Win32: Fizzer ставит перед собой следующие файлы в папку Windows:
initbak.dat
iservc.dll
iservc.exe
ProgOp.exe
Также червь создает следующую запись реестра, чтобы выполнить сама при каждой перезагрузке:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ SystemInit =% WINDOWS% \ iservc.exe
Следующая запись используется для запуска себя через специальный загрузчик для открытия текстового файла:
HKCR \ txtfile \ Shell \ Open \ Command =% WINDOWS% \ ProgOp.exe 0 7 '% WINDOWS% \ NOTEPAD.EXE% 1'% WINDOWS% \ initbak.dat '% WINDOWS% \ файла ISERVC.EXE'
Он пытается завершить несколько процессов, а именно: некоторые антивирусные программы.
Червь обладает дополнительными возможностями бэкдор. Он прислушивается к указанным портам команд от удаленного хоста (для хакера компьютер). Червь также можете запустить сервер HTTP на порт 81, чтобы предоставить дополнительный доступ к зараженному компьютеру. Червь может выполнять DoS (отказ в обслуживании) атаки, если она получает конкретные команды от удаленного хакера.
Win32: Fizzer можно удалить, если бы файлы Uninstall.pky находится в главном каталоге Windows.
Любой Avast! с VPS файла от года или после 12 мая 2003 в состоянии обнаружить этот червь.
| Дизайн разработан