В интеренте появился новый вирус, жертвами которого могут стать не только пользователи электронной почты, но и любителей скачивать музыку из Сети. Червь распространяется через почту и популярную систему обмена файлами KaZaA.

Вирус рассчитан на неопытных пользователей - заражение компьютера происходит только если получатель опасного письма сам запускает вложенный файл.

По данным "Лаборатории Касперского", Fizzer является классическим сетевым червем. Эта вредоносная программа приходит по электронной почте в виде приложенного исполняемого файла и активизируется при его запуске.

После этого на диске создаются 5 дополнительных файлов и модифицируется секция автозапуска программ системного реестра Windows для загрузки "Fizzer" при старте операционной системы.

Червь одинаково эффективно распространяется по электронной почте и через файлообменную сеть KaZaA. Для рассылки по e-mail Fizzer сканирует адресные книги Outlook и Windows (Windows Address Book) или использует в качестве объекта атаки случайные адреса в крупнейших публичных почтовых системах, таких как hotmail.com и yahoo.com. После этого червь от имени владельца компьютера незаметно рассылает зараженные сообщения, которые могут иметь различные темы, тексты и имена вложенных файлов.

Например:

Тема: Re: I think you might find this amusing...

Вложенный файл: Logan6.exe

Текст: Let me know what you think of this...

Для распространения по KaZaA Fizzer создает свои копии со случайными именами в директории этой файлообменной сети, так что они становятся доступными для других ее участников.

Fizzer имеет ряд опасных побочных эффектов, которые могут спровоцировать утечку конфиденциальной информации с зараженного компьютера. Червь устанавливает клавиатурного "жучка", который перехватывает и записывает в отдельный файл все, что пользователь набирает на клавиатуре.

Для передачи этих и других данных в систему внедряется утилита несанкционированного удаленного управления, которая позволяет злоумышленникам незаметно контролировать компьютер через чат-каналы IRC и по протоколам HTTP и Telnet.

Кроме того, червь регулярно соединяется с веб-страницей на общедоступном сервере Geocities и пытается загрузить обновленную версию своих исполняемых модулей.

Наконец, для предотвращения обнаружения, Fizzer сканирует память компьютера и закрывает активные процессы ряда наиболее популярных антивирусных программ, пишет CNews.Ru.

korrespondent