FIZZER VIRUS durch Disconnect übertragen

[Skripper[D'S]]

Hallo,

nur eine Warnung und Hilfestellung an euch alle.

In einem Spiel Disc jemand, danach stürzt euer Starcraft ab, was normalerweise nicht passiert.
Was ihr nicht wisst, es wurde ein Virus übertragen genannt Fizzer.
Er überträgt 5 Dateien meist in das Windows Verzeichnis.
Er trägt diese in den Autostart ein (Registrierung).

Bei nächsten Versuch euch ins Bnet einzuloggen werdet ihr geblockt mit einer Meldung, welche euch auf einen Virus hinweisst.
Darum lässt euch Bnet nicht einloggen.
Was nun auffällig ist, ab den Einlogg Versuch habt ihr einen großen Upload, ohne das ihr Inetproggis laufen habt.

Über diesen Trojaner wurden mir persönlich der Win95Space und ein FunVirus übertragen, der sich blitzschnell in sämtlich exe Dateien ausbreitete.
AUCH in exe Dateien, die ich nicht ausführte.

Das hatte die Folge, das ich beim Neuinstallieren von Starcraft/Broodwar den Bnetupdate nie ausführen konnte.
Der Update meldete eine nicht erkannte Starcraft Version.
Space Virus lässt grüßen er verändert die Dateigröße und schon erkennt das Update die Datei nicht.

Mir half nur der Norton Antivirus weiter. Konnte aber nur von einen Netzwerkrechner aus meinen PC säubern.
Der Virenbefall war schon zu groß. Wer denkt auch gleich an so ein makaberes Spiel?

Hoffe mein Bericht hilft den einen oder anderen weiter!

Gruß
Marco alias Skripper[D'S]

 

[CrashOverwrite2]

das mag ich ehrlich gesagt nicht glauben wollen

 

[Skripper[D'S]]

Möchtest du nun Beweise haben?

Suche im Inet nach dem Fizzer Virus!
Kann dir auch Telenummer von Clankollegen geben, der gestern das gleiche Problem hatte.

 

[Smarty]

Halte ich ehrlich gesagt auch für sehr unwahrscheinlich, dass du vorher noch nicht infiziert warst.

 

[Wiseguy3]

Völliger Bullshit. Kann mal jemand das Topic löschen, bevor noch irgendein DAU das aufschnappt und den Quatsch weitererzählt?!

 

[Chummr]

wenn das stimmt ist das ne verdammt krasse sicherheitslücke in bw...

kann ich mir zwar nicht wirklich vorstellen aber es wäre denkbar. Wenn man durch den disc dem compi vorgaukeln kann er würde ein update starten müssen.

Aber wie werden die dateien übertragen !?

 

[Wiseguy3]

ES STIMMT NICHT!

Fizzer ist n Email Virus, der sich über Anhänge an Mails verbreitet.

HÖRT AUF DIESEN MIST AUCH NUR ANSATZWEISE ZU GLAUBEN BZW DARÜBER NACHZUDENKEN. Der Topicersteller ist dumm.

 

[synBeta]

wiseguy halt mal den rand plz. wenn man von der bw-disc-infektion absieht dürfte mal alles stimmen.....

 

[Wiseguy3]

Original geschrieben von |syn|Beta
wenn man von der bw-disc-infektion absieht dürfte mal alles stimmen.....

Und warum bitte? Ich hab in dem ganzen Thread noch nicht einen tatsächlichen Beweis dafür gesehen, dass wir es hier nicht wieder mit nem Outlook Express User zu tun haben, der sich von irgendwelchen Leuten verarschen lässt und diese Scheisse dann weitererzählt.

Ich hätte mal wirklich gern einen Beweis.
Wie wird denn der Virus auf dem Remotesystem eingespielt? Ach so - es werden an den Client "falsche" Battlenetsignale versendet, die über einen Bufferoverflow dann zur Ausführung von fremdem Code führen... Und derjenige, der sich das alles ausgedacht und gecodet hat, nimmt ausgerechnet einen Virus, der bereits existiert, um auf keinen Fall den Ruhm dafür einzuheimsen, sondern dem FIZZER Macher noch ein bischen unter die Arme zu greifen.

Selten so einen bodenlosen BULLSHIT gehört.

 

[Skripper[D'S]]

Wow, wie man hier gleich nieder gemacht wird.

Danke für die Beleidigungen Socke[PG].

Ist relativ einfach als nicht Betroffener über andere zu lachen.

Dann löscht eben den Thread. Wollte hier nur vorab meine Erkenntnisse veröffentlichen.

Noch am Rande erwähnt:
Ich nutzte diesen PC nur für Bnet und habe darauf nie Email empfangen oder versendet! Filesharingpragramme waren auch nicht installiert.

 

[Wiseguy3]

Original geschrieben von Skripper[D'S]

Noch am Rande erwähnt:
Ich nutzte diesen PC nur für Bnet und habe darauf nie Email empfangen oder versendet! Filesharingpragramme waren auch nicht installiert.

Klar. Jeder von uns hat doch nen speziellen "Bnet PC" auf dem nichts anderes läuft ausser Broodwar.
Sicher hast du darauf auch noch nie gesurft, ICQ benutzt du sowieso nicht und IRC ist für dich ein Fremdwort.
ROFL

 

[CrashOverwrite2]

http://www.percomp.de/cgi-bin/info.cgi?virus=FIZZER&return=/news.htm

Did you ever stop to think that viruses are good for the
economy? Maybe the primary creators of the world's worst viruses
are the companies that make the Anti-Virus software.

 

[Skripper[D'S]]

Will mich nicht wie im Kindergarten mit Leuten behängen Socke.

Aber was sollen die verdammten Anschuldigungen?

Wenn du meinen Thread als Mist empfindest behalte es für dich und ignoriere es!
Kümmere dich um deinen "Mist".

 

[synBeta]

Original geschrieben von Wiseguy
Und warum bitte? Ich hab in dem ganzen Thread noch nicht einen tatsächlichen Beweis dafür gesehen, dass wir es hier nicht wieder mit nem Outlook Express User zu tun haben, der sich von irgendwelchen Leuten verarschen lässt und diese Scheisse dann weitererzählt.

Ich hätte mal wirklich gern einen Beweis.
Wie wird denn der Virus auf dem Remotesystem eingespielt? Ach so - es werden an den Client "falsche" Battlenetsignale versendet, die über einen Bufferoverflow dann zur Ausführung von fremdem Code führen... Und derjenige, der sich das alles ausgedacht und gecodet hat, nimmt ausgerechnet einen Virus, der bereits existiert, um auf keinen Fall den Ruhm dafür einzuheimsen, sondern dem FIZZER Macher noch ein bischen unter die Arme zu greifen.

Selten so einen bodenlosen BULLSHIT gehört.

äh du hast nich kapiert was ich meinte? AUCH ICH WEISS DASS DAS MIT BNET INFEKTION NICHT STIMMEN KANN!

 

[Wiseguy3]

Original geschrieben von |syn|Beta



äh du hast nich kapiert was ich meinte? AUCH ICH WEISS DASS DAS MIT BNET INFEKTION NICHT STIMMEN KANN!

Ähm, dann hab ich dich wohl falsch verstanden. Aber warum sollte ich dann den Rand halten? Der Typ macht hier nen riesen Stress, beschuldigt das Bnet exploitable zu sein und setzt somit völlig falsche Gerüchte in die Welt. Und dann versucht er sich noch mit nem "guck doch selbst nach" aus der Affäre zu ziehen. Sowas ist übel und sollte sofort unterbunden werden, weil wie ich schon sagte sonst zig andere DAUs diesen Mist nachplappern.

 

[doMi-]

verstehe nicht warum so ein thread noch offen ist. wie lächerlich das schon geschrieben ist. hört sich an wie ne typische spammail... :blah:

 

[Asta Khan_inaktiv]

a) der virus hat nix mit bnet zu tun, sondern es ist ein ganz gewöhnlicher virus wie tausende andere und braucht deshalb kein topic hier.

b) "Wenn du meinen Thread als Mist empfindest behalte es für dich und ignoriere es!" Wenn du hier falsche Informationen verbreitest, dann ist es richtig, darüber aufzuklären. Mal ganz abgesehen davon, dass der Thread keine Daseinsberechtigung hat.



edit: lol ich sollte mich wohl mal entscheiden, ob ich jetzt durchgehend klein schreibe oder net =/

 

[Nort]

jaja NoRti antivirus muss es mal wieder retten 8[

 

[killerchicken_inaktiv]

@mods: macht die scheiße doch endlich zu plz

 

[The_Company]

Original geschrieben von Asta Khan
lol ich sollte mich wohl mal entscheiden, ob ich jetzt durchgehend klein schreibe oder net =/

Bitte nicht.
Es ist - besonders bei Sachen die länger sind als "lol " um einiges besser zu lesen, wenn da Grossbuchstaben drin sind.

 

[Drunken--Angel]

Ich dle immer Viren wenn ich Loose.
Deshalb mach ich das nichmehr

 

[Observator]

Original geschrieben von Wiseguy
Der Typ macht hier nen riesen Stress, beschuldigt das Bnet exploitable zu sein und setzt somit völlig falsche Gerüchte in die Welt. Und dann versucht er sich noch mit nem "guck doch selbst nach" aus der Affäre zu ziehen. Sowas ist übel und sollte sofort unterbunden werden, weil wie ich schon sagte sonst zig andere DAUs diesen Mist nachplappern.

#2

 

[Forst]

D'S beweis genug

 

[Busta_inaktiv]

Original geschrieben von Skripper[D'S]
Danke für die Beleidigungen Socke[PG].

die reaktionen (winke winke wise) sind zwar dezent übertrieben (von wg im inet so verhalten wie im rl ölö), aber lolig was für ein quatsch der ersteller zu verbreiten versucht :/

 

[Wiseguy3]

Wenn mir im Alltag ein Typ so einen Mist erzählen will und den vor allem auch noch anderen andrehen will, reagiere ich genauso. Solche Pseudo PC-Cracks habe ich sowas von gefressen...

 

[Myxomat]

Und was wenns doch stimmt?

 

[killerchicken_inaktiv]

das ist irreal

 

[Wiseguy3]

Original geschrieben von Myxomat
Und was wenns doch stimmt?

Dann lesen wir das in den kommenden Tagen auf so ziemlich allen Newsseiten von heise bis broodwar.de...

(und ich fress nen Besen - horizontal und mit einem Haps)

 

[Myxomat]

Dann ists aber vielleicht schon zu spät.

 

[DeXtrOsE]

Passt vor allem mit Kazaa auf, da kommen auch ne Menge Viren rein. Ich hatte grad gestern mit Klez zu tun... Dank Norton Antivir corp geht aba nun wieda alles.

 

[~Infested~]

Was der Wurm macht ist unten zu lesen aber die oben beschriebenen Übertragubgswege sehe ich da nicht!

I-Worm.Fizzer

Worm.Fizzer alias Worm.Fizzu.A, W32.Fizzer, W32.Fizzer.A. W32.Fizzer.gen


Dieser Wurm kommt per eMail, via Filetransfer Ihres Internetrelay.Chat-Programms oder dem FileSharing-Programm KaZaa auf Ihren Rechner. Wie viele Würmer der letzten Zeit beinhaltet "I-Worm.Fizzer" eine Backdoorfunktion um den infizierten Rechner für Dritte zugänglich zu machen.

Wird der Wurm aktiviert so legt er folgende Dateien im Windows-Verzeichnis an:

iservc.exe (Kopie des Wurmes)
initbak.dat (Kopie des Wurmes)
ProgOp.exe (Wurmteil)
iservc.dll (Keylogger - Backdoor)
iservc.klg (Datenfile des Keyloggers)

Damit "I-Worm.Fizzer" auch zuverlässig bei jedem Systemstart automatisch gestartet wird legt der Wurm folgenden Registry-Eintrag an:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
und
SystemInit=(Windows directory path)\iservc.exe

Als Besonderheit beherscht "I-Worm.Fizzer" zudem das erzeugen eines System-Services bei den Windows Betriebssystemen NT/2000 und XP. Dieser Service (S1TRACE) ist aber durch den Autor deaktiviert (Disabled).

Durch das doppelklicken auf TXT Dateien aktiviert sich das Virus:
"I-Worm.Fizzer" ändert dafür die default Handler für TXT-Dateien so das der Wurm aktiviert wird sobald eine TXT-Datei durch Doppelklick geöffnet wird.

HKEY_CLASSES_ROOT\txtfile\shell\open\command"(Default)"= C:\WINDOWS\ProgOp.exe 0 7 'C:\WINDOWS\NOTEPAD.EXE %1' 'C:\WINDOWS\initbak.dat' 'C:\WINDOWS\ISERVC.EXE'

Neben der Verbreitung durch eMail (mit Hilfe eines eigene SMTP-Server) verwendet der Wurm auch KaZaa für seine Verbreitung.
Das eMail wird aus einer Liste von zufälligen Subjects, Texten und Attachments (Name und Größe der Datei) erzeugt. Die eMail-Adressen nimmt der Wurm aus dem Outlook- und dem Windows-Adressbuch. Zudem ist verschickt das Virus diese eMails nicht sofort nach Infektion des Systems sondern erst Zeitversetzt. Das „Aussehen“ dieser Mail ändert sich dabei fast beliebig z.b:

Subject: Re: ;(
Attachment: desktop.exe
Body: you must not show this to anyone...

Oder

Subject: Re: I think you might find this amusing...
Attachment: Logan6.exe
Body: Let me know what you think of this...

Oder

Subject: Fwd: why?
Attachment: Taylor83.com
Body: Today is a good day to die...

Wie alle Würmer die sich über KaZaa verbreiten kopiert sich auf "I-Worm.Fizzer" mit unterschiedlichen Namen in den Download-Ordner wo andere User den Wurm laden können.

Schadensfunktionen:

Die integrierten Backdoorfunktion: Verbindungsaufbau zu mehreren IRC-Channels
Der Wurm hat mehrere Adressen von IRC-Channels integriert und sollte ein Chat-Programm auf dem infizierten Rechner installiert sein so verbindet sich "I-Worm.Fizzer" mit diesen.

Die fix im Wurm-Code integrierten Adressen:
irc2p2pchat.net
irc.idigital-web.com
irc.cyberchat.org
irc.othernet.org
irc.beyondirc.net
irc.chatx.net
irc.cyberarmy.com
irc.gameslink.net


Installation eines HTTP und Telnet-Servers
Durch den HTTP und Telnet-Server erhalten Dritte Zugang auf den infizierten PC!

Tastatur-Logger
Im Windows-Verzeichnis wird eine Datei "iservc.klg" angelegt welche sämtliche Tastatureingaben protokoliert.

Download neuer Versionen
Der Autor hat bei Geocities eine Homepage wohin sich der Wurm verbindet und eine neue Version des Wurmes/Backdoors downloadet und installiert.

Registrieren und anmelden beim AOL-Messenger
"I-Worm.Fizzer" registriert sich selbst beim Messenger-Dienst und loggt sich dann mit seinen eigenen Zugangsdaten im Chat-Programm ein.

Beenden von Virenschutzsoftware
Der Wurm beendet die Prozesse folgender Dateien:
ANTIV
AVP
F-PROT
NAV
NMAIN
SCAN
TASKM
VIRUS
VSHW
VSS

Hinweise auf eine Infektion mit "I-Worm.Fizzer":
> Ungewöhnlicher Traffic auf Port 6667 (IRC) oder 5190 (AIM)
> Neue Dateien unter Windows sowie Registry-Einträge

Sehr kreativ das Teil

 

[Wiseguy3]

Wieso kreativ?

 

[Skripper[D'S]]

Kann auch Zufall gewesen sein, das nach diesen ungewöhnlichen Disconnect+Absturz der Virus aktiv wurde.
Vielleicht schlummerte er schon voerher auf meinen Starcraft PC.

Ich schilderte ja nur was vorgefallen ist.
Sorry das ich kein technischen Wissen habe.
Ich hatte nicht vor Verwirrung zu stiften! Sorry noch einmal.

Gruß
Marco

 

[CrashOverwrite2]

Hi Marco,

ich bin dir trotzdem nicht böse.

Liebe Grüße
Dein Rainer

 

[[For]Hood2]

wahrscheinlcih hat haste die Datei und Druckerfreigabe auch für den Dfü adapter eingeschaltet... rofl man glaubt garnicht wieviele es davon auch noch HEUTE gibt *g*