Massimo livello di pericolosità e diffusione per un virus spione
23 maggio 2003 Ha già raggiunto il massimo livello di pericolosità
presso vari produttori di sistemi antivirus ed è noto dai primi giorni di maggio
2003. Fizzer è un virus che arriva come allegato di un messaggio di posta
elettronica dal contenuto estremamente casuale: sono stati contati circa una
sessantina di possibili soggetti, in inglese e tedesco. Anche il tipo di file
allegato, che contiene il virus, è casuale tra le categorie degli “eseguibili”:
Exe, Com, Pif o Scr. La dimensione dell’allegato è pure variabile. Il testo del
messaggio può essere tra i seguenti:
I sent this program (Sparky)
from anonymous places on the net.
The way to gain a good reputation is
to endeavor to be what you desire to appear.
There is only one good, knowledge, and one evil,
ignorance.
Watchin' the game, having a bud.
Did you ever stop to think that viruses are
good for the economy? Maybe the primary
creators of the world's worst viruses
are the companies that make the Anti-Virus software.
Today is a good day to die... so, how are you?
The attachment is only for you to look
at you must not show this to anyone...
Delete this as soon as you look at it...
Let me know what you think of this...
If you don't like it, just delete it.
thought I'd let you know you don't
have to if you don't want to.
Data questa estrema mutevolezza, è difficile riconoscerlo a colpo d’occhio e bisogna confidare nel sistema antivirus che filtra la posta in arrivo per proteggersi.
Fizzer è un mass-mailing worm, ovvero legge dalla rubrica di Windows tutti gli indirizzi di email memorizzati e si invia automaticamente ad essi. Pertanto il virus arriva spesso da persone note, essendo corrispondenti che hanno il nostro indirizzo di posta elettronica memorizzato nel loro sistema.
Quando entra in azione, attiva un sistema di backdoor che usa la rete mIRC per comunicare con un possibile hacker remoto, che lo sfrutta per penetrare nel nostro sistema e attingere ai nostri dati. Le porte aperte sono la 2018, 2019, 2020 e 2021. Inoltre contiene un keylogger, ovvero un sistema che intercetta tutti i caratteri digitati da tastiera, inviandoli poi attraverso il popolare network di condivisione Kazaa. Se nel sistema infettato è presente tale software, individua la cartella di prelevamento e vi memorizza un file in formato Mp3 che contiene il virus stesso. Infine, tenta di terminare l’esecuzione di tutti i processi associati a vari programmi antivirus commerciali nel computer infettato. Pare anche che sia in grado di aggiornarsi collegandosi in modo automatico ad un sito di Geocities, attualmente non disponibile.
Come sempre, il
miglior modo di proteggersi da questo tipo di virus è usare un buon sistema
antivirus, regolarmente aggiornato, che filtri la posta in entrata. In ogni
caso, evitare sempre di aprire file allegati di messaggi in una lingua straniera
o comunque non usata comunemente dal dal corrispondente, soprattutto se sono
file non richiesti o dal contenuto non chiaro.