Hello!

You’re about to visit our web page in Español
Would you like to continue?

Yes, I want to visit the web page in Español No, I want to visit the web page in

If this is not what you’re looking for,

Visit our Welcome Page!

Mi cuenta

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Fizzer

PeligrosidadPeligrosidad alta
DañoMuy dañino
PropagaciónPoco extendido

Efectos

Fizzer produce los siguientes efectos en el ordenador afectado:

  • Captura las pulsaciones de teclado que realiza el usuario. Fizzer guarda estas pulsaciones en un fichero de texto que él mismo ha creado en el directorio de Windows, llamado ISERVC.KLG. Después lo encripta. Si un hacker consigue este fichero, tendrá acceso a datos confidenciales del usuario del ordenador afectado, como pueden ser claves de acceso a servicios de Internet, cuentas bancarias, etc.
  • Está preparado para finalizar procesos activos. Con ello, algunos programas dejarían de funcionar. Estos procesos pertenecen, principalmente, a programas antivirus. Para ello, busca y finaliza los procesos activos entre cuyo nombre se encuentre alguna de las siguientes cadenas de texto:

    NAV, SCAN, AVP, TASKM, VIRUS, F-PROT, VSHW, ANTIV, VSS, NMAIN.

  • Actúa como un troyano de tipo backdoor, permitiendo que un hacker, de manera remota, gane acceso a los recursos del ordenador afectado.

Metodo de Infección

Fizzer crea los siguientes ficheros en el directorio de Windows:

  • INITBAK.DATISERVC.EXE, que son copias del gusano.
  • ISERVC.DLL y PROGOP.EXE. Son ficheros que Fizzer necesita para su correcto funcionamiento.

Además, Fizzer crea otra copia en el directorio de ficheros temporales de Windows, con el nombre ISERVC.EXE.

Fizzer crea las siguientes claves en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    SystemInit = % Windir% \ ISERVC.EXE
    Con esta clave, Fizzer consigue ejecutarse cada vez que se inicie el sistema.
  • HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command
    "(Predeterminado)" = C:\ WINDOWS\ ProgOp.exe 0 7 'C:\ WINDOWS\ NOTEPAD.EXE %1' 'C:\ WINDOWS\ initbak.dat' 'C:\ WINDOWS\ ISERVC.EXE'
    Con esta clave, el gusano consigue ejecutarse cada vez que el usuario abra un fichero de texto.

Para actuar como un troyano de tipo backdoor, Fizzer sigue el siguiente proceso:

  • Se conecta a unos determinados servidores de IRC. Si quiere ver una lista de los posibles servidores a los que Fizzer se conecta pulse aquí.
  • Cuando establece esta conexión, entra en un canal determinado y espera a conectarse con un cliente de acceso remoto.
  • Cuando esta conexión se produce, el cliente de acceso remoto consigue acceso a los recursos del ordenador afectado de manera remota.

Método de Propagación

Fizzer se propaga principalmente a través de correo electrónico y de KaZaA, un programa de intercambio de ficheros punto a punto (P2P).

1- Propagación a través del correo electrónico:

Cuando infecta un ordenador, utiliza su propio motor SMTP para enviar por correo electrónico una copia de sí mismo a los siguientes destinatarios:

  • A todos los contactos que encuentre en la  Libreta de direcciones  de Outlook y Windows (fichero WAB ).
  • A destinatarios con nombres aleatorios y alguno de los siguientes dominios: msn.com, hotmail.com, yahoo.com, aol.com, earthlink.net, gte.net, juno.com o netzero.com.

El mensaje que envía por correo electrónico tiene características muy variables. Si quiere comprobar las características de estos mensajes, pulse aquí.

Fizzer falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

2- Propagación a través de KaZaA:

Para propagarse a través de este programa de intercambio de ficheros punto a punto, sigue el siguiente proceso:

  • Crea dentro del directorio compartido varias copias de sí mismo. Estas copias tendrán nombres aleatorios.
  • Otros usuarios de KaZaA podrán acceder a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros nombrados anteriormente, pensando que se trata de alguna aplicación interesante. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
  • Cuando esos usuarios ejecutan el fichero que se han descargado, quedarán infectados.

Otros Detalles

Para que conozca un poco mejor a Fizzer, aquí le presentamos alguna de sus características:

  • Está escrito en lenguaje de programación C.

  • El fichero ejecutable que contiene al gusano incluye una sección de recursos de al menos 120 KB con una copia encriptada del fichero ISERVC.EXE. 

  • En la sección de recursos se incluyen dos entradas identificativas del gusano.  Esto puede verse fácilmente dentro de las propiedades del ejecutable, en el apartado “Versión”, el elemento “Comentarios” contiene la cadena: This is a system initialization utility and is necessary for system stability. En el apartado Nombre Interno, incluye la cadena lservc.exe.

  • Fizzer posee la capacidad de actualizarse bajando parches de una página web hospedada en Geocities.  A fecha de hoy dicha página web ha sido borrada por lo que esta característica del gusano no funcionará.

Anytech logo

Llámanos las 24 horas del día y te haremos un diagnóstico gratuito

+1 (323) 395 2630

logo
Acerca de Panda
Conócenos
Tecnología Panda Security
Empleos y Prácticas
Apoyo a la innovación
Panda en el Mundo
Soporte
Particulares
Productos
Descargas
Free Antivirus
Free VPN
Blog
Security Info
Opiniones
Ya soy cliente
Empresas - Watchguard Technologies
WatchGuard
Endpoint Security
Network Security
AuthPoint MFA
Secure Wi-Fi
Partners
Política de privacidad
Aviso legal
Política de cookies
Política de devolución