Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 13/5/2003
Ormen Fizzer, der dukkede op i sidste uge, er nu den mest aktive e-postbaserede orm. Den anvender mange metoder til at sprede sig.Både amerikanske Messagelabs og danske Comendo melder, at Fizzer er den orm, de standser flest eksemplarer af for øjeblikket.
Ifølge antivirusfirmaet McAfee har ormen en intern timer, som den bruger til at styre, hvornår den starter bestemte processer på den inficerede computer. Ormen sender sig selv videre til e-postadresser, som den finder i brugerens Outlook-kartotek, Windows-adressekartoteket eller andre steder på harddisken. Den sender sig også til adresser, som den selv konstruerer.
Selve ormen optræder som en vedlagt fil, der kan ende på for eksempel .com, .exe, .pif eller .scr. Hvis modtageren af mailen dobbeltklikker på den vedhæftede fil, installerer ormen sig på pc'en. Den kopierer en række filer til harddisken og forsøger at standse antivirusprogrammer, der måtte køre på pc'en. Ormen bliver kørt, hver gang computeren tændes, og hver gang man dobbeltklikker på en tekstfil (der ender på .txt).
Fizzer forsøger at kontakte flere servere på chatsystemet IRC. Når det lykkes, forbinder den sig til en kanal, hvor den afventer ordrer. Dermed indgår den i et såkaldt botnet (netværk af robotter). Alle de inficerede computere kan fjernstyres med kommandoer, som ormens forfatter sender ud på IRC-kanalen. Opkoblingen til IRC sker via den gængse port 6667. Hvis ens firewall-program spørger, om man vil tillade udgående trafik på denne port, kan det være et tegn på, at ens computer er inficeret.
På samme vis forbinder den sig også til en chat-session på AOL Instant Messenger-systemet. Her anvender den port 5190.
Fizzer prøver at opdatere sig selv til en eventuel nyere version ved at kontakte en web-server. Den pågældende side svarer dog ikke på nuværende tidspunkt.
Ormen installerer et program, der opsamler brugerens tastetryk og gemmer dem i en fil. Dermed kan ormens forfatter få adgang til brugernavne og passwords, hvis han henter filen.
Foruden spredning via e-post anvender Fizzer også fildelingsnetværket Kazaa, idet den kopierer sig selv over i standardmappen for dette program. Dermed kan andre brugere komme til at hente den. Filnavnene varierer.
Fizzer starter et web-serverprogram på den inficerede computer. Den lytter på port 81. Hvis en angriber forbinder sig til web-serveren, kan han dels se information om det inficerede system, dels udføre visse kommandoer.
Derudover kan man fjernstyre den inficerede computer ved at kontakte et program, der lytter på portene 2018, 2019, 2020 og 2021.
Antivirusfirmaet F-Secure har udsendt et gratis program, som man kan bruge til at fjerne ormen med, hvis ens computer er blevet inficeret.