Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Fizzer | |
Peligrosidad Daño Propagación |
De un vistazo
| |
| Nombre común: | Fizzer |
| Nombre técnico: | W32/Fizzer |
| Peligrosidad: | Media |
| Tipo: | Gusano |
| Efectos: | Captura las pulsaciones de teclado y finaliza procesos pertenecientes a programas antivirus. Actúa como troyano backdoor, permitiendo acceso remoto a los recursos del ordenador afectado. |
| Plataformas que infecta: | Windows XP/2000/NT/ME/98/95 |
| Fecha de detección: | 08/05/2003 |
| Detección actualizada: | 24/08/2005 |
| Estadísticas | No |
Protección proactiva: | Sí, mediante las Tecnologías TruPrevent
|
Descripción Breve | |
Fizzer es un gusano peligroso puesto que, además de propagarse con rapidez, actúa como un troyano de tipo backdoor, permitiendo que un hacker gane acceso de manera remota a los recursos del ordenador afectado. Además, Fizzer captura las pulsaciones de teclado que realiza el usuario del ordenador afectado y las guarda en un fichero de texto. Si el hacker accede a este fichero, podrá conseguir datos confidenciales del usuario del ordenador, tales como el nombre de usuario y la contraseña a recursos de Internet, cuentas bancarias... Por último, Fizzer está preparado para finalizar ciertos procesos relacionados fundamentalmente con programas antivirus. Fizzer se propaga principalmente a través del correo electrónico. Manda una copia de sí mismo a todos los contactos que encuentra en la Libreta de direcciones de Windows y a otras muchas direcciones escogidas de forma aleatoria. También puede propagarse a través de KaZaA, un programa de intercambio de ficheros punto a punto (P2P). |
Síntomas Visibles | |
Fizzer resulta difícil de reconocer a simple vista ya que no muestra mensajes o avisos que alerten sobre su presencia. |
Detalles técnicos
Efectos |
Fizzer produce los siguientes efectos en el ordenador afectado: Captura las pulsaciones de teclado que realiza el usuario. Fizzer guarda estas pulsaciones en un fichero de texto que él mismo ha creado en el directorio de Windows, llamado ISERVC.KLG. Después lo encripta. Si un hacker consigue este fichero, tendrá acceso a datos confidenciales del usuario del ordenador afectado, como pueden ser claves de acceso a servicios de Internet, cuentas bancarias, etc. Está preparado para finalizar procesos activos. Con ello, algunos programas dejarían de funcionar. Estos procesos pertenecen, principalmente, a programas antivirus. Para ello, busca y finaliza los procesos activos entre cuyo nombre se encuentre alguna de las siguientes cadenas de texto: NAV, SCAN, AVP, TASKM, VIRUS, F-PROT, VSHW, ANTIV, VSS, NMAIN. Actúa como un troyano de tipo backdoor, permitiendo que un hacker, de manera remota, gane acceso a los recursos del ordenador afectado.
|
Metodo de Infección
Fizzer crea los siguientes ficheros en el directorio de Windows:
INITBAK.DAT y ISERVC.EXE, que son copias del gusano.
ISERVC.DLL y PROGOP.EXE. Son ficheros que Fizzer necesita para su correcto funcionamiento.
Además, Fizzer crea otra copia en el directorio de ficheros temporales de Windows, con el nombre ISERVC.EXE.
Fizzer crea las siguientes claves en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
SystemInit = % Windir% \ ISERVC.EXE
Con esta clave, Fizzer consigue ejecutarse cada vez que se inicie el sistema. - HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command
"(Predeterminado)" = C:\ WINDOWS\ ProgOp.exe 0 7 'C:\ WINDOWS\ NOTEPAD.EXE %1' 'C:\ WINDOWS\ initbak.dat' 'C:\ WINDOWS\ ISERVC.EXE'
Con esta clave, el gusano consigue ejecutarse cada vez que el usuario abra un fichero de texto.
Para actuar como un troyano de tipo backdoor, Fizzer sigue el siguiente proceso:
Se conecta a unos determinados servidores de IRC. Si quiere ver una lista de los posibles servidores a los que Fizzer se conecta pulse aquí.
Cuando establece esta conexión, entra en un canal determinado y espera a conectarse con un cliente de acceso remoto.
Cuando esta conexión se produce, el cliente de acceso remoto consigue acceso a los recursos del ordenador afectado de manera remota.
Método de Propagación
Fizzer se propaga principalmente a través de correo electrónico y de KaZaA, un programa de intercambio de ficheros punto a punto (P2P).
1- Propagación a través del correo electrónico:
Cuando infecta un ordenador, utiliza su propio motor SMTP para enviar por correo electrónico una copia de sí mismo a los siguientes destinatarios:
A todos los contactos que encuentre en la Libreta de direcciones de Outlook y Windows (fichero WAB ).
A destinatarios con nombres aleatorios y alguno de los siguientes dominios: msn.com, hotmail.com, yahoo.com, aol.com, earthlink.net, gte.net, juno.com o netzero.com.
El mensaje que envía por correo electrónico tiene características muy variables. Si quiere comprobar las características de estos mensajes, pulse aquí.
Fizzer falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
2- Propagación a través de KaZaA:
Para propagarse a través de este programa de intercambio de ficheros punto a punto, sigue el siguiente proceso:
Crea dentro del directorio compartido varias copias de sí mismo. Estas copias tendrán nombres aleatorios.
Otros usuarios de KaZaA podrán acceder a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros nombrados anteriormente, pensando que se trata de alguna aplicación interesante. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
Cuando esos usuarios ejecutan el fichero que se han descargado, quedarán infectados.
Otros Detalles
Para que conozca un poco mejor a Fizzer, aquí le presentamos alguna de sus características:
