XS4ALL
Waarschuwing: fizzer-virus
14 mei 2003
Er is een nieuwe virusworm in omloop, genaamd `Fizzer'. Het virus is
vorige week ontdekt in Azië en verspreidt zich razendsnel. Ook enkele
klanten van XS4ALL zijn de afgelopen dagen geïnfecteerd geraakt.
Fizzer verspreidt zich als worm via e-mail en `peer-to-peer' netwerken
als Kazaa. Het virus heeft ook `backdoor capabilities'. Daardoor zijn
geïnfecteerde systemen toegankelijk voor derden via chat kanalen als
IRC en AOL instant messenger. Het virus wordt geactiveerd door het
attachment, een .exe, .pif, .scr of .com bestand, handmatig te openen.
Het virus is lastig te herkennen aangezien de subject header, text van
de e-mail en naam van het attachment willekeurig worden samengesteld.
Voor een indruk van de lijst met subjectheaders en attachment namen,
kijk op:
http://www.virusalert.nl/?show=virus&id=493
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_F
IZZER.A
Wat doet de Fizzer worm?
- Na infectie installeert Fizzer een backdoor op het getroffen
systeem. Hierdoor zijn derden in staat toegang te krijgen tot het
geïnfecteerde systeem en het systeem te misbruiken voor o.a. DDoS
aanvallen.
- Het virus kent ook een zgn. `Keyboard logger', waardoor gevoelige
informatie die via een keyboard in een geïnfecteerd systeem wordt
ingevoerd (passwords, creditcard nummers etc.) wordt opgeslagen in een
speciaal bestand dat door kwaadwillende derden van buitenaf is in te
zien.
- Ook beschikt het over `Video Capture', waardoor beelden van het
beeldscherm van een geïnfecteerd systeem kunnen worden verzonden naar
buitenstaanders.
- Fizzer tracht verder anti-virus software en firewalls uit te
schakelen.
Na besmetting stuurt Fizzer een e-mail met attachement naar alle
contacten uit het adressenboek van Windows en Microsoft Outlook, en
verspreidt het zich naar contacten uit Kazaa. Het zoekt verder in de
cache van internetbrowsers en verschillende bestanden op het
geïnfecteerde systeem naar e-mail adressen om zichzelf naar te
versturen. Daarnaast verstuurt het virus zichzelf o.a. naar
willekeurige e-mail adressen in de volgende domeinen: msn.com,
hotmail.com, yahoo.com, aol.com, earthlink.net, gte.net, juno.com,
netzero.com.
Meer informatie over de Fizzer worm leest u via:
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.fizze
r@mm.html
http://europe.f-secure.com/v-descs/fizzer.shtml
http://www.sophos.com/virusinfo/analyses/w32fizzera.html
http://vil.nai.com/vil/content/v_100295.htm
Hoe verwijder ik de Fizzer worm?
Zorg er voor dat u goede anti-virus software heeft geïnstalleerd op uw
computer en houdt deze up-to-date. Als u gebruik maakt van Windows,
installeer dan ook de juiste patches van Microsoft. Wees altijd
voorzichtig met het openen van attachments: bij twijfel niet openen.
Indien u de onlangs geïntroduceerde online e-mail VirusFilter van
XS4ALL gebruikt, bent u beschermd tegen besmetting met het Fizzer
virus via e-mail. De XS4ALL online VirusFilter werkt echter niet voor
Peer-to-peer netwerken als Kazaa. XS4ALL klanten die geen gebruik
maken van Kazaa en de online VirusFilter van XS4ALL hebben
geactiveerd, zijn beschermd tegen het virus. Voor meer informatie over
de online VirusFilter van XS4ALL, kijk op:
http://www.xs4all.nl/nieuws/overzicht/virusfilters.html
Als uw computer eenmaal besmet is, kunt u de Fizzer worm automatisch
verwijderen met een speciaal programma. Dit programma vindt u onder
andere op:
http://www.bitdefender.com/html/free_tools.php
http://vil.mcafee.com/dispVirus.asp?virus_k=100295
http://europe.f-secure.com/v-descs/fizzer.shtml
http://www.sophos.com/virusinfo/analyses/w32fizzera.html
XS4ALL adviseert om, na het verwijderen van de Fizzer worm, de werking van beveiligingssoftware zoals virusscanners en firewalls goed te controleren. Deze kunnen door de Fizzer worm uitgeschakeld zijn.