Fizzer

Fizzer produce los siguientes efectos en el ordenador afectado:

• Captura las pulsaciones de teclado que realiza el usuario. Fizzer guarda estas pulsaciones en un fichero de texto que él mismo ha creado en el directorio de Windows, llamado ISERVC.KLG. Después lo encripta. Si un hacker consigue este fichero, tendrá acceso a datos confidenciales del usuario del ordenador afectado, como pueden ser claves de acceso a servicios de Internet, cuentas bancarias, etc.
• Está preparado para finalizar procesos activos. Con ello, algunos programasdejarían de funcionar. Estos procesos pertenecen, principalmente, a programas antivirus. Para ello, busca y finaliza los procesos activos entre cuyo nombre se encuentre alguna de las siguientes cadenas de texto:

  NAV, SCAN, AVP, TASKM, VIRUS, F-PROT, VSHW, ANTIV, VSS, NMAIN.

• Actúa como un troyano de tipo backdoor, permitiendo que un hacker, de manera remota, gane acceso a los recursos del ordenador afectado.

Fizzer crea los siguientes ficheros en el directorio de Windows:

• INITBAK.DAT y ISERVC.EXE, que son copias del gusano.
• ISERVC.DLL y PROGOP.EXE. Son ficheros que Fizzer necesita para su correcto funcionamiento.

Además, Fizzer crea otra copia en el directorio de ficheros temporales de Windows, con el nombre ISERVC.EXE.

Fizzer crea las siguientes claves en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\Run
  SystemInit = % Windir% \ ISERVC.EXE
  Con esta clave, Fizzer consigue ejecutarse cada vez que se inicie el sistema.
• HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command
  "(Predeterminado)" = C:\ WINDOWS\ ProgOp.exe 0 7 'C:\ WINDOWS\ NOTEPAD.EXE %1' 'C:\ WINDOWS\ initbak.dat' 'C:\ WINDOWS\ ISERVC.EXE'
  Con esta clave, el gusano consigue ejecutarse cada vez que el usuario abra un fichero de texto.

Para actuar como un troyano de tipo backdoor, Fizzer sigue el siguiente proceso:

• Se conecta a unos determinados servidores de IRC. Si quiere ver una lista de los posibles servidores a los que Fizzer se conecta pulse aquí.
• Cuando establece esta conexión, entra en un canal determinado y espera a conectarse con un cliente de acceso remoto.
• Cuando esta conexión se produce, el cliente de acceso remoto consigue acceso a los recursos del ordenador afectado de manera remota.

Fizzer se propaga principalmente a través de correo electrónico y de KaZaA, un programa de intercambio de ficheros punto a punto (P2P).

1- Propagación a través del correo electrónico:

Cuando infecta un ordenador, utiliza su propio motor SMTP para enviar por correo electrónico una copia de sí mismo a los siguientes destinatarios:

• A todos los contactos que encuentre en la  Libreta de direcciones  de Outlook y Windows (fichero WAB ).
• A destinatarios con nombres aleatorios y alguno de los siguientes dominios: msn.com, hotmail.com, yahoo.com, aol.com, earthlink.net, gte.net, juno.com o netzero.com.

El mensaje que envía por correo electrónico tiene características muy variables. Si quiere comprobar las características de estos mensajes, pulse aquí.

Fizzer falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

2- Propagación a través de KaZaA:

Para propagarse a través de este programa de intercambio de ficheros punto a punto, sigue el siguiente proceso:

• Crea dentro del directorio compartido varias copias de sí mismo. Estas copias tendrán nombres aleatorios.
• Otros usuarios de KaZaA podrán acceder a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros nombrados anteriormente, pensando que se trata de alguna aplicación interesante. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
• Cuando esos usuarios ejecutan el fichero que se han descargado, quedarán infectados.

Para que conozca un poco mejor a Fizzer, aquí le presentamos alguna de sus características:

• Está escrito en lenguaje de programación C.

• El fichero ejecutable que contiene al gusano incluye una sección de recursos de al menos 120 KB con una copia encriptada del fichero ISERVC.EXE. 

• En la sección de recursos se incluyen dos entradas identificativas del gusano.  Esto puede verse fácilmente dentro de las propiedades del ejecutable, en el apartado “Versión”, el elemento “Comentarios” contiene la cadena: This is a system initialization utility and is necessary for system stability. En el apartado Nombre Interno, incluye la cadena lservc.exe.

• Fizzer posee la capacidad de actualizarse bajando parches de una página web hospedada en Geocities.  A fecha de hoy dicha página web ha sido borrada por lo que esta característica del gusano no funcionará.