Hello!

You’re about to visit our web page in Español
Would you like to continue?

Yes, I want to visit the web page in Español No, I want to visit the web page in

If this is not what you’re looking for,

Visit our Welcome Page!

Prueba la App
Panda Dome
Descargar
x
OFERTA 48H
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA 48 HORAS
50%
RENOVACIONES Solo clientes particulares
RENUEVA CON DESCUENTO
x
OFERTA ESPECIAL
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA HALLOWEEN
Aprovéchate de unos
descuentos de miedo
COMPRA HOY AL 50%
x
OFERTA ESPECIAL
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 50%
x
OFERTA ESPECIAL
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 50%
x
OFERTA ESPECIAL
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 50%
x
HASTA
-60%
COMPRA YA
x
HASTA
-60%
COMPRA YA
Active Scan. Analiza Gratis tu PC

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Fizzer

PeligrosidadPeligrosidad altaDañoMuy dañinoPropagaciónPoco extendido

Efectos 

Fizzer produce los siguientes efectos en el ordenador afectado:

  • Captura las pulsaciones de teclado que realiza el usuario. Fizzer guarda estas pulsaciones en un fichero de texto que él mismo ha creado en el directorio de Windows, llamado ISERVC.KLG. Después lo encripta. Si un hacker consigue este fichero, tendrá acceso a datos confidenciales del usuario del ordenador afectado, como pueden ser claves de acceso a servicios de Internet, cuentas bancarias, etc.
  • Está preparado para finalizar procesos activos. Con ello, algunos programas dejarían de funcionar. Estos procesos pertenecen, principalmente, a programas antivirus. Para ello, busca y finaliza los procesos activos entre cuyo nombre se encuentre alguna de las siguientes cadenas de texto:

    NAV, SCAN, AVP, TASKM, VIRUS, F-PROT, VSHW, ANTIV, VSS, NMAIN.

  • Actúa como un troyano de tipo backdoor, permitiendo que un hacker, de manera remota, gane acceso a los recursos del ordenador afectado.

Metodo de Infección 

Fizzer crea los siguientes ficheros en el directorio de Windows:

  • INITBAK.DATISERVC.EXE, que son copias del gusano.
  • ISERVC.DLL y PROGOP.EXE. Son ficheros que Fizzer necesita para su correcto funcionamiento.

Además, Fizzer crea otra copia en el directorio de ficheros temporales de Windows, con el nombre ISERVC.EXE.

Fizzer crea las siguientes claves en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    SystemInit = % Windir% \ ISERVC.EXE
    Con esta clave, Fizzer consigue ejecutarse cada vez que se inicie el sistema.
  • HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command
    "(Predeterminado)" = C:\ WINDOWS\ ProgOp.exe 0 7 'C:\ WINDOWS\ NOTEPAD.EXE %1' 'C:\ WINDOWS\ initbak.dat' 'C:\ WINDOWS\ ISERVC.EXE'
    Con esta clave, el gusano consigue ejecutarse cada vez que el usuario abra un fichero de texto.

Para actuar como un troyano de tipo backdoor, Fizzer sigue el siguiente proceso:

  • Se conecta a unos determinados servidores de IRC. Si quiere ver una lista de los posibles servidores a los que Fizzer se conecta pulse aquí.
  • Cuando establece esta conexión, entra en un canal determinado y espera a conectarse con un cliente de acceso remoto.
  • Cuando esta conexión se produce, el cliente de acceso remoto consigue acceso a los recursos del ordenador afectado de manera remota.

Método de Propagación 

Fizzer se propaga principalmente a través de correo electrónico y de KaZaA, un programa de intercambio de ficheros punto a punto (P2P).

1- Propagación a través del correo electrónico:

Cuando infecta un ordenador, utiliza su propio motor SMTP para enviar por correo electrónico una copia de sí mismo a los siguientes destinatarios:

  • A todos los contactos que encuentre en la  Libreta de direcciones  de Outlook y Windows (fichero WAB ).
  • A destinatarios con nombres aleatorios y alguno de los siguientes dominios: msn.com, hotmail.com, yahoo.com, aol.com, earthlink.net, gte.net, juno.com o netzero.com.

El mensaje que envía por correo electrónico tiene características muy variables. Si quiere comprobar las características de estos mensajes, pulse aquí.

Fizzer falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

2- Propagación a través de KaZaA:

Para propagarse a través de este programa de intercambio de ficheros punto a punto, sigue el siguiente proceso:

  • Crea dentro del directorio compartido varias copias de sí mismo. Estas copias tendrán nombres aleatorios.
  • Otros usuarios de KaZaA podrán acceder a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros nombrados anteriormente, pensando que se trata de alguna aplicación interesante. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
  • Cuando esos usuarios ejecutan el fichero que se han descargado, quedarán infectados.

Otros Detalles  

Para que conozca un poco mejor a Fizzer, aquí le presentamos alguna de sus características:

  • Está escrito en lenguaje de programación C.
  • El fichero ejecutable que contiene al gusano incluye una sección de recursos de al menos 120 KB con una copia encriptada del fichero ISERVC.EXE. 

  • En la sección de recursos se incluyen dos entradas identificativas del gusano.  Esto puede verse fácilmente dentro de las propiedades del ejecutable, en el apartado “Versión”, el elemento “Comentarios” contiene la cadena: This is a system initialization utility and is necessary for system stability. En el apartado Nombre Interno, incluye la cadena lservc.exe.

  • Fizzer posee la capacidad de actualizarse bajando parches de una página web hospedada en Geocities.  A fecha de hoy dicha página web ha sido borrada por lo que esta característica del gusano no funcionará.