“Лаборатория Касперского” сообщила об обнаружении нового Интернет-червя, получившего название Fizzer. Помимо рассылки по электронной почте данная вредоносная программа содержит процедуры рассылки через P2P-сеть KaZaA, клавиатурного, а также обладает функциями клавиатурного “жучка” и троянца.
Fizzer проникает на компьютер в виде исполняемого файла и активизируется при его запуске. После этого на диске создается пять дополнительных файлов и модифицируется секция автозапуска программ системного реестра Windows для загрузки Fizzer при старте операционной системы.
Для рассылки своих копий по электронной почте вирус сканирует адресные книги Outlook и Windows (Windows Address Book) или в качестве объекта атаки использует случайные адреса, позаимствованные в крупнейших публичных почтовых системах, таких как hotmail.com и yahoo.com.
Для распространения по KaZaA червь-универсал создает свои копии со случайными именами в директории этой файлообменной сети, так что они становятся доступными для других ее участников.
Клавиатурный "жучок” червя перехватывает и записывает в отдельный файл все нажатия клавиш. Для передачи этих и других данных в систему внедряется утилита несанкционированного дистанционного управления, которая позволяет злоумышленникам незаметно контролировать компьютер через чат-каналы IRC, по протоколам HTTP и Telnet.
Кроме того, Fizzer регулярно соединяется с Web-страницей на общедоступном сервере Geocities и пытается загрузить обновленную версию своих исполняемых модулей. Наконец, для предотвращения обнаружения червь сканирует память компьютера и закрывает активные процессы ряда наиболее популярных антивирусных программ.
В. М.
