RezoSup > Pour les utilisateurs > Les virus
A propos de Fizzer
Fizzer est un ver Internet qui se propage au moyen de la messagerie électronique, de réseaux Peer-to-Peer d'échange de contenu "Kazaa".
Ce ver prend pour cible les systèmes Windows.
Description du ver
Le texte qui suit est largement inspiré du message reçu du CERT Renater.
L'exécution du ver provoque l'installation de divers outils:
- une backdoor qui lui permet de communiquer avec un attaquant distant par le biais de canaux IRC sur un certain nombre de serveurs. L'attaquant peut ainsi prendre le contrôle du système;
- un outil permettant de lancer des attaques en Deni de Service;
- un outil permettant d'enregistrer tout ce que l'utilisateur tape sur son clavier (keylogger). Il semble qu'il soit utilisé pour récupérer des données de connexion (login/mot de passe) et diverses autres informations. Les données capturées sont enregistrées dans un fichier pour une utilisation ultérieure.
- un serveur HTTP en écoute sur le port 81/TCP
Le ver met aussi en place des backdoors supplémentaires en écoute sur les ports TCP 2018 a 2021. Il est aussi susceptible d'utiliser AIM (Aol Instant Messenger) pour prendre le contrôle du système.
Le ver est conçu pour désactiver un certain nombre de logiciels antivirus éventuellement mise en place sur le système victime.
Pour se protéger de ce type de menace
Ces recommendations sont d'ordre général.
- prendre soin de mettre régulierement à jour tous vos systèmes, notamment les logiciels Oulook Express et Internet Explorer dont des vulnérabilites sont très souvent utilisées dans le mécanisme de propagation de nombreux vers Internet;
- mettre en place une protection anti-virale sur tous les systèmes vulnérables à ce type d'attaque (Windows notamment). Configurer l'outil avec soin;
- mettre à jour très régulierement le logiciel anti-virus et sa base de signatures (prendre en compte que de nouvelles menaces apparaissent presque tous les jours);
- manipuler les pièces jointes avec beaucoup de prudence. Dans certains cas l'émetteur du message n'est pas connu, mais dans de tres nombreux cas il l'est. Ne surtout pas hésiter à demander confirmation de l'envoi à l'emetteur. Se méfier des messages bizarres. Privilégier l'option "enregistrement de la pièce jointe sur le disque" à l'"ouverture immédiate" du fichier. Les logiciels anti-virus sont souvent configurés pour analyser les fichiers lors de l'ouverture ou de l'enregistrement de fichiers sur le disque. Le logiciel anti-virus ne peut bien inter-agir avec votre logiciel de messagerie que s'ils sont conçus pour travailler ensemble. L'option "enregistrement de la pièce jointe" est donc préférable. Bien sûr, cela ne peut être efficace que si logiciels et base de signatures anti-virales sont à jour.
- rester toujours très vigilant
Pour plus de détails
Voici quelques liens qui pointent vers les pages des sites d'antivirus, parlant de Fizzer. Ces liens vous feront sortir du site.
- W32/Fizzer-A (en français)
- W32/Fizzer@MM, W32/Fizzer.A, Sparky
- W32.HLLW.Fizzer@mm
- Virus details: W32/Fizzer.A
Questions diverses
Je ne suis pas infecté, mais le server refuse la connexion. Que se passe-t-il ?
Si vous pensez ne pas etre infecté, vérifiez bien que votre nom d'utilisateur (username) n'est pas votre nom réel (realname) à l'envers.
Exemple : Si votre nom réel est "Jean Dupont" et que votre nom d'utilisateur est "DupontJean" ou "~DupontJea", vous serez détecté comme étant infecté.
OK, mon système était mal configuré. Que dois-je faire maintenant ?
La solution est de changer votre nom d'utilisateur ou votre nom réel dans votre client IRC, comme décrit sur les screenshots suivants: