Regroupant divers composants assurant son autonomie et son pilotage à distance, Fizzer a déjà contaminé 55.000 machines depuis le 8 mai.
(Mercredi 14 mai 2003)
Un ver d'un type nouveau vient
de faire son apparition. Dénommé Fizzer,
il est composé d'éléments qui n'ont
jusqu'à présent que très rarement
été réunis au sein d'un même
code malveillant : un serveur HTTP, un moteur SMTP, un
cheval de Troie aspirateur de mots de passe (key logger),
des mécanismes d'attaque d'antivirus et de connexion
à mIRC et AOL Instant Messenger en font un cocktail
très explosif.
Se propageant via Kazaa (le client peer-to-peer)
et par mail (avec pièces attachées), le
ver aurait contaminé depuis le 8 mai dernier -
date de ses premières apparitions en Asie - quelque
55.000 machines, selon F-Secure.
Une
autonomie presque parfaite "C'est la
présence d'un serveur HTTP autonome, sur le port
81, qui nous a décidé à passer ce
ver au niveau d'alerte maximum, la menace nous semblant
vraiment sérieuse", déclare Eugenio
Correnti, directeur technique chez F-Secure France. Pour
le moment, les chercheurs de cet éditeur d'antivirus
étudient le rôle précis joué
par ce serveur intégré, mais il y a fort
à parier que sa fonction soit, entre autres, de
faire en sorte que de futures victimes du ver puissent
se connecter sur une machine déjà infectée
pour télécharger le code...
Sa capacité à se mettre à jour par
différents moyens, donc à recevoir de nouvelles
instructions de la part de son ou de ses créateurs,
suscite également beaucoup d'inquiétude.
Le ver est en effet capable de se connecter à mIRC
(client Internet Relay Chat), à AOL Instant Messenger
et, selon les dernières informations connues, sur
un compte hébergé par Geocities.
Capacité
à attaquer les antivirus et mass-mailing aléatoire Le ver possède
par ailleurs des fonctionnalités "retro-vrius",
c'est-à-dire capables d'attaquer et de désactiver
les logiciels antivirus en place. Les extensions visées
sont : Antiv, Avp, F-Prot, Nmain, Scan, Taskm, Virus,
Vshw, Vss, soit les principaux logiciels du marché.
Possédant son propre
moteur SMTP, ses capacités de connexion peuvent
potentiellement être le point de départ d'une
attaque en Déni de Service en règle. Le
ver est également capable de générer
de manière aléatoire ses propres adresses
mail sur des comptes @hotmail.com, @yahoo.com ou @earthlink.com,
y rajoutant au hasard des noms anglais ou allemands pré-enregistrés.
D'ores et déjà, les principaux éditeurs
d'anti-virus que nous avons consultés (F-Secure,
Symantec, Network Associates, Trend Micro...) ont mis
à disposition des mises à jour et des outils
pour se débarraser du ver.
Carte
d'identité de Fizzer
- Type : ver 32
bits
- Taille : variable
- Systèmes affectés : à partir
de Windows 95
- Fichiers installés dans les répertories
Windows en cas d'infection :
ISERVC.EXE
PROGOP.EXE
INITBAK.DAT (copie du ver)
ISERVC.DLL (copie du ver)
- Propagation par email : carnet d'adresses Windows
(.wab), liste de contacts Outlook, adresses trouvées
dans le système, adresses aléatoires
- Extension des pièces attachées
: .exe, .com, .pif ou .scr
- Clé du registre ajoutée
:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avec ajout de la valeur : "SystemInit"="%windir%\iservc.exe"
- Clé du registre modifée :
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command
ISERVC.EXE
[