publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Fizzer

Virus Fizzer

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad media Propagación Propagación baja Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Fizzer produce los siguientes efectos en el ordenador afectado:

  • Captura las pulsaciones de teclado que realiza el usuario. Fizzer guarda estas pulsaciones en un fichero de texto que él mismo ha creado en el directorio de Windows, llamado ISERVC.KLG. Después lo encripta. Si un hacker consigue este fichero, tendrá acceso a datos confidenciales del usuario del ordenador afectado, como pueden ser claves de acceso a servicios de Internet, cuentas bancarias, etc.
  • Está preparado para finalizar procesos activos. Con ello, algunos programas dejarían de funcionar. Estos procesos pertenecen, principalmente, a programas antivirus. Para ello, busca y finaliza los procesos activos entre cuyo nombre se encuentre alguna de las siguientes cadenas de texto:

    NAV, SCAN, AVP, TASKM, VIRUS, F-PROT, VSHW, ANTIV, VSS, NMAIN.

  • Actúa como un troyano de tipo backdoor, permitiendo que un hacker, de manera remota, gane acceso a los recursos del ordenador afectado.

Metodo de infección:

Fizzer crea los siguientes ficheros en el directorio de Windows:

  • INITBAK.DATISERVC.EXE, que son copias del gusano.
  • ISERVC.DLL y PROGOP.EXE. Son ficheros que Fizzer necesita para su correcto funcionamiento.

Además, Fizzer crea otra copia en el directorio de ficheros temporales de Windows, con el nombre ISERVC.EXE.

Fizzer crea las siguientes claves en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    SystemInit = % Windir% \ ISERVC.EXE
    Con esta clave, Fizzer consigue ejecutarse cada vez que se inicie el sistema.
  • HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command
    "(Predeterminado)" = C:\ WINDOWS\ ProgOp.exe 0 7 'C:\ WINDOWS\ NOTEPAD.EXE %1' 'C:\ WINDOWS\ initbak.dat' 'C:\ WINDOWS\ ISERVC.EXE'
    Con esta clave, el gusano consigue ejecutarse cada vez que el usuario abra un fichero de texto.

Para actuar como un troyano de tipo backdoor, Fizzer sigue el siguiente proceso:

  • Se conecta a unos determinados servidores de IRC. Si quiere ver una lista de los posibles servidores a los que Fizzer se conecta pulse aquí.
  • Cuando establece esta conexión, entra en un canal determinado y espera a conectarse con un cliente de acceso remoto.
  • Cuando esta conexión se produce, el cliente de acceso remoto consigue acceso a los recursos del ordenador afectado de manera remota.

Metodo de propagación:

Fizzer se propaga principalmente a través de correo electrónico y de KaZaA, un programa de intercambio de ficheros punto a punto (P2P).

1- Propagación a través del correo electrónico:

Cuando infecta un ordenador, utiliza su propio motor SMTP para enviar por correo electrónico una copia de sí mismo a los siguientes destinatarios:

  • A todos los contactos que encuentre en la  Libreta de direcciones  de Outlook y Windows (fichero WAB ).
  • A destinatarios con nombres aleatorios y alguno de los siguientes dominios: msn.com, hotmail.com, yahoo.com, aol.com, earthlink.net, gte.net, juno.com o netzero.com.

El mensaje que envía por correo electrónico tiene características muy variables. Si quiere comprobar las características de estos mensajes, pulse aquí.

Fizzer falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

2- Propagación a través de KaZaA:

Para propagarse a través de este programa de intercambio de ficheros punto a punto, sigue el siguiente proceso:

  • Crea dentro del directorio compartido varias copias de sí mismo. Estas copias tendrán nombres aleatorios.
  • Otros usuarios de KaZaA podrán acceder a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros nombrados anteriormente, pensando que se trata de alguna aplicación interesante. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
  • Cuando esos usuarios ejecutan el fichero que se han descargado, quedarán infectados.

Otros detalles:

Para que conozca un poco mejor a Fizzer, aquí le presentamos alguna de sus características:

  • Está escrito en lenguaje de programación C.

  • El fichero ejecutable que contiene al gusano incluye una sección de recursos de al menos 120 KB con una copia encriptada del fichero ISERVC.EXE. 

  • En la sección de recursos se incluyen dos entradas identificativas del gusano.  Esto puede verse fácilmente dentro de las propiedades del ejecutable, en el apartado “Versión”, el elemento “Comentarios” contiene la cadena: This is a system initialization utility and is necessary for system stability. En el apartado Nombre Interno, incluye la cadena lservc.exe.

  • Fizzer posee la capacidad de actualizarse bajando parches de una página web hospedada en Geocities.  A fecha de hoy dicha página web ha sido borrada por lo que esta característica del gusano no funcionará.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork