I-Worm.Fizzer - CODINE

Estás en Inicio: Soporte Técnico: Alertas de Virus: I-Worm.Fizzer

I-Worm.Fizzer« Volver al listado de Virus

Alias:
Fizzer, W32/Fizzer@MM, Win32/Fizzer.A, W32/Fizzer.

El virus fue visto por primera vez el 8 de Mayo pero hasta ahora no se había reproducido con mucha intensidad. Este gusano se propaga vía correo electrónico, IRC y KaZaa.

Ejemplos de correos infectados por el Fizzer:

- Asunto: Re: I think you might find this amusing...
Archivo adjunto: Logan6.exe
Texto: Let me know what you think of this...

- Asunto: why?
Archivo adjunto: desktop.scr
Texto: The peace

- Asunto: Re: The way I feel - Remy Shand
Archivo adjunto: Jordan6.pif
Texto: Nein

Infección y carga:
El virus llega a los ordenadores como archivo ejecutable y se activa cuando el usuario lo ejecuta, entonces crea 5 archivos en la carpeta del sistema (windows/winnt):

-     c:\windows\ISERVC.KLG
-     c:\windows\INITBAK.DAT
-     c:\windows\ISERVC.EXE
-     c:\windows\ISERVC.DLL
-     c:\windows\PROGOP.EXE

El gusano tambien modifica el registro de Windows para que el virus se cargue cada vez que se reinicia el sistema operativo.

- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- SystemInit = c:\windows\ISERVC.EXE

El virus hace las modificaciones necesarias para ejecutarse cada vez que se abra un fichero de texto con el bloc de notas y copia todo lo que se teclea en estos ficheros guardando estos datos con el consiguente riesgo de perdida o robo de información.

El gusano para evitar ser detectado, chequea la presencia de cualquier proceso en memoria pertenecientes a conocidos antivirus, cortafuegos, etc., y los elimina.

También intenta la conexión regularmente con página de Web localizada en el servidor de Geocities que intenta transmitir la versión puesta al día de sus módulos ejecutables.

Propagación:
El gusano recoge y se reenvía a lasdirecciones de la propia libreta de direcciones del Outlook Express, asimismo también realiza envíos al azar con direcciones de los sistemas de correo electrónicos de aol.com, earthlink.com,gte.net, hotmail.com, juno.com, msn.com, netzero.com, yahoo.com.

El virus se copia en varios archivos con nombres seleccionados al azar en las carpetas compartidas del KaZaA haciendo que este disponible para cualquier usuario de la red.

Desinfección:
Actualice su antivirus ejecutando la tarea KAV Updater y a continuación ejecute la tarea escaner con la opción de "preguntar " en caso de detección de virus.

Cuando detecte algún archivo infectado intente desinfectarlo y si esto no es posible o directamente observa que es uno de los archivos creados por el virus según la descripción anterior, seleccione "borrar", así eliminara cualquier rastro del virus.

Si tiene problemas con el virus puede descargar y ejecutar esta aplicación Fizzer.zip, teniendo presente que orteriormente tendrá que ejecutar de nuevo el escaner del antivirus para eliminar o asegurarse de que tiene el ordenador totalmente limpio.