Fizzer-Wurm verbreitet sich mit Rekord-Tempo

EnterpriseSicherheit

IT-Sicherheit ausgeknipst – viel Ärger

Die Spezialisten für IT-Sicherheitskonzepte warnen unisono und weltweit vor dem Fizzer-Wurm, der sich seit Montag Mittag zunächst in Asien ausbreitete – mit erstaunlicher Geschwindigkeit, wie sich in den folgenden Stunden herausstellte. Inzwischen seien Systeme in Nordamerika und Europa genauso betroffen, heißt es.

W32/Fizzer-A ist ein reiner Windows-Wurm, der Anti-Virus-Anwendungen genauso wie die installierte Firewall außer Gefecht setzt. Darüber hinaus richtet Fizzer zunächst keinen Schaden an. Er hat aber bereits zahlreiche Unternehmensnetzwerke in die Knie gezwungen, weil er bei seiner Verbreitung enorm viel Bandbreite beansprucht.

Die verwendete Betreff-Zeile der infizierten Mails variiert stark – offenbar ist hier ein Zufallsgenerator am Werk. Nach Medienberichten sind auch schon Fizzer-Mails aufgetaucht, die eine Betreffzeile mit schwäbischem Dialekt trugen, wie etwa “Koi luscht zum schaffe”. Fizzer aktiviert sich nicht selbst sondern erst durch das Öffnen des Attachments.

Zur Verbreitung nutzt Fizzer in bekannter Weise alle Mail-Adressen, die auf dem Client verfügbar sind. Außerdem scannt der Schädling das System auch nach einem ICQ-Kanal, verbreitet sich darüber und richtet sich gleich auch noch eine Hintertür für einen späteren Besuch ein. Noch dazu ist ein Key-Logger integriert, mit dem sich sämtliche Tastatureingaben auslesen lassen: Benutzernamen und Passworte könnten so ohne großen Aufwand in die Hände von Hackern fallen.

Weitere Verbreitungsstrategie: Fizzer sucht nach Clients von Peer-to-Peer-Netzwerken wie beispielsweise Kazaa und verschickt sich darüber. Auch das Attachment selbst ist auf den ersten Blick nicht ohne weiteres zu erkennen, weil es in den Formaten .exe, .pif, .com oder .scr auftaucht.

Bekannt ist Fizzer seit dem 8. Mai – nur vier Tage später konnte der Wurm dann zu einer Massenverbreitung ansetzen. Die größten Infektionsraten werden derzeit aus China und Hongkong gemeldet.

Am schnellsten waren dann wieder einmal die Experten vom russischen Softwarespezialisten Kaspersky Labs. Bald danach folgten Sophos, Trend Micro, Symantec, Panda Software, F-Secure und Message Labs mit ähnlichen Warnungen. Sie alle bieten inzwischen ein Update für ihre Antivirensoftware an, mit dem sich der Wurm ausfiltern lässt.