GUSANO

Fizzer

Índice

Alias: W32/Fizzer@MM, W32/Fizzer.A, Sparky

Aparecido el 9 de mayo de 2003, Fizzer es un complejo gusano informático que se distribuye a través de e-mail y de la red de intercambio de archivos P2P (peer-to-peer) Kazaa.

Fizzer incorpora un backdoor IRC, una herramienta de ataque de ataque DoS (negación de servicio), un troyano ladrón de datos (emplea un DLL externo que registra las pulsaciones del teclado) y un servidor HTTP entre otros componentes.  El gusano tiene la capacidad de eliminar tareas de ciertos programas anti-virus. Además tiene capacidad para actualizarse a si mismo.

Fizzer se difunde en e-mails como un adjunto de extensión EXE, PIF, SCR o COM. Los nombres de éstos últimos, los asuntos y los textos se seleccionan al azar de entre una lista interna. Las direcciones de correo se extraen de la libreta de direcciones de Outlook y Windows así como de diferentes archivos almacenados en el disco duro.

Descripción Técnica

Cuando el usuario ejecuta el archivo que contiene Fizzer, se crea un archivo llamado ISERVC.EXE en una carpeta temporal y se activa.  ISERVC.EXE es el componente principal del gusano principal. Se copia al directorio de Windows con los nombres siguientes: 

ISERVC.EXE
INITBAK.DAT

Generando dos archivos más dentro del directorio de Windows:

ISERVC.DLL
PROGOP.EXE

El archivo ISERVC.DLL es un componente keylogging y PROGOP.EXE contiene código puro que servirá para re-ensamblar el gusano antes de difundirse a otros sistemas.

Es interesante mencionar que el gusano utiliza su sección de recursos para almacenar sus propias cadenas de texto y archivos adicionales que él descargará.  Este método se emplea muy pocas veces por programas maliciosos.

El gusano crea una clave de arranque para su componente principal en el registro del sistema con el fin de ejecutar Fizzer en cada inicio:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 "SystemInit" = "%windir%\iservc.exe]

donde %windir% es el directorio de Windows.

Adicionalmente, el gusano modifica la cadena de arranque para archivos de texto:

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@ = "%windir%\ProgOp.exe 0 7 '%windir%\NOTEPAD.EXE %1' '%windir%\initbak.dat'
 '%windir%\ISERVC.EXE'File" menu."

donde %windir% es el directorio de Windows.

El archivo principal del gusano contiene 5 recursos, los cuales, excepto el primero, están encriptados y comprimidos. El primero se encuentra únicamente comprimido. La estructura de los recursos es la siguiente:

- e-mail address list -
- progop.exe file  -
- iservc.dll file -
- behaviour script -
- text strings -

El script "- behaviour" contiene los parámetros principales del gusano como por ejemplo nombre y carpeta de la instalación.  Este script también controla el comportamiento del gusano en ciertas condiciones, por ejemplo cuando la fecha cambia, el gusano abandona el IRC, espera un determinado tiempo y luego regresa.

Difusión a través de e-mails

El gusano de Fizzer recoge las direcciones e-mail de la libreta de Outlook y Windows y también de diferentes archivos almacenados en las carpetas personales, de cookies, y de las carpetas de los archivos recientemente abiertos y los directores temporales de Internet. A donde se difundirá como adjunto de extensión EXE, PIF, SCR o COM. Los nombres de éstos últimos, los asuntos y los textos se seleccionan al azar de entre una lista interna pudiendo propagarse en e-mails escritos en alemán.

Difusión a través de Kazaa

Fizzer localiza carpetas compartidas para la red Kazaa en el equipo infectado y se copia en ellas con nombres aleatorios. Cualquier persona que se conecta a un PC infectado y ejecute los archivos ahí ubicados serán nuevas víctimas del gusano.

Troyano keylogger

El gusano registra las pulsaciones efectuadas por el usuario en el teclado y las almacena en el archivo ISERVC.KLG dentro de la carpeta de Windows. Este archivo puede ser capturado por un hacker de modo que tenga acceso a sus datos confidenciales, contraseñas, logins,...

Backdoor AOL

Fizzer se conecta al servidor AOL a través del puerto 5190 con un nombre de usuario aleatorio creando un bot. Un hacker puede establecer conexión al bot y control el comportamiento del gusano de manera remota.

Backdoor IRC

El gusano se intenta conectar a diferentes servidores IRC (de una larga lista) para crear bots en determinados canales. Estos bots puede utilizarse por el autor de Fizzer para conseguir acceso limitado a un sistema infectado.

Capacidades backdoor adicionales

A través de los puertos 2018-2021 escucha comandos desde un host remoto (equipo del hacker) con los siguientes propósitos:

2018 - puerto comando: enviar/recibir comandos
2019 - puerto archivo: enviar/recibir archivos
2020 - puerto consola: para controlar el comportamiento del gusano
2021 - puerto vídeo: para capturar video y enviarlo al exterior

También inicia un servidor HTTP sobre el puerto 81 para ofrecer acceso adicional a un equipo infectado.

Payload

Fizzer interrumpe procesos de determinados programas anti-virus y que incluyan las siguientes cadenas de texto:

NAV
SCAN
AVP
TASKM
VIRUS
F-PROT
VSHW
ANTIV
VSS
NMAIN

Fizzer puede lanzar también ataques de negación de servicio (DoS) en caso de recibir un comando específico de un hacker remoto.

Capacidad de auto-actualización

Fizzer puede actualizarse desde un determinada página web (actualmente no disponible) a la que se conecta, descarga una actualización y la guarda como un archivo UPD.BIN en la carpeta e Windows.

Capacidad de desintalación

La actual variante del gusano puede auto-desinstalarse si el archivo de nombre UNINSTALL.PKY se encuentra dentro de la carpeta de Windows.

Cuando el virus encuentra algún archivo con este nombre, aborta su ejecución y elimina sus entradas en el registro de modo que quede limpio el sistema.


Copyright © VIRUSPROT.COM