Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um vírus que se espalha pela Internet. Ele funciona de forma semelhante ao worm "Happy99" : ele se instala no sistema, conecta as funções do Windows de acesso à Internet, obtém endereços da Internet para onde envia suas cópias. O worm tem erros e replica somente no Win9x, não no WinNT.

O worm aparece como um arquivo "Fix20001.Exe" anexado a uma mensagem de email. A mensagem tem o assunto "Problema da Internet no ano 2000". e o texto da mensagem é escrito em dois idiomas: inglês e espanhol:



Estimado Cliente:

Rogantes actualizar / descobrir o sistema operacional para el

Corrigido o funcionamento da Internet a partir do ano 2000. Si

Ud. es usuario de Windows 95/98 em vez disso

Software provisto por Microsoft (C) llamado -Fix2001- que se

encuentra adjunto en este E-Mail o bien puede ser descargado

del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM

Si Ud. es usuario de otros Sistemas Operativos, por favor, no

deje de consultar com sus susourses sofports técnicos.

Muchas Gracias.

Administrador

Cliente da Internet:

Ficaremos felizes se você verificar o (s) seu (s) sistema (s) operacional (ais) antes

Ano 2000 para evitar problemas com suas conexões de Internet.

Se você é um usuário do Windows 95/98, pode verificar seu sistema

usando o aplicativo Fix2001 anexado a este e-mail

ou baixando-o do site da Microsoft (C) WEB:

HTTP://WWW.MICROSOFT.COM

Se você estiver usando outro sistema operacional, por favor não espere

até o ano 2000, pergunte ao suporte técnico do sistema operacional.

Obrigado.

Administrador.

O worm também contém strings de texto que são usadas para gerar e enviar dados anexados em uma mensagem de e-mail, assim como os textos:



RCPT TO: 

@ hotmail.com>

@ ciudad.com.ar>

Fix2001

A CHAVE REAL PARA VIVER UMA FELIZ VIDA, É: SER UM BOM HOMEM.

PARA CONSEGUIR LA VERDADERA FELICIDAD, SE UN BUEN TIPO.

Instalação

O arquivo anexado (o próprio worm) é um arquivo executável do Windows com cerca de 12Kb de comprimento. Quando executado, ele se instala no diretório do sistema Windows com o nome FIX2001.EXE e se registra na chave de registro do sistema "Run =" para ativar sua cópia a cada reinicialização do Windows:



HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun

Fix2001 = "FIX2001.EXE"

O worm exibe a seguinte mensagem falsa para ocultar sua atividade:

Espalhando

Ao ser executado a partir da cópia FIX2001.EXE instalada, o worm se registra como um processo de serviço do sistema (para ocultar sua janela e permanecer ativo no logoff do usuário) com o título da janela de identificação "AMORE_TE_AMO"; obtém acesso à biblioteca de conexões da Internet WSOCK32.DLL; obtém endereços para funções "connect" e "send"; remendá-los com instruções de chamada para as prostitutas do verme; e fica na memória do Windows como aplicativos ocultos.

Quando a conexão com a Internet é ativada, o worm verifica os dados que são enviados e recebidos, obtém endereços da Internet de lá e envia mensagens infectadas para esses endereços.

Carga útil

O worm tem uma carga útil muito perigosa que é ativada quando as strings de texto no corpo do worm são corrigidas ou corrompidas (isso é possível, porque os dados são transferidos através dos canais da Internet). Desta forma, o worm sobrescreve o arquivo C: COMMAND.COM com um Trojan DOS que, na próxima reinicialização do computador, apaga todos os dados no disco rígido.

Link para o original

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é um vírus que se espalha pela Internet. Ele funciona de forma semelhante ao worm "Happy99" : ele se instala no sistema, conecta as funções do Windows de acesso à Internet, obtém endereços da Internet para onde envia suas cópias. O worm tem erros e replica somente no Win9x, não no WinNT. O worm aparece como um arquivo "Fix20001.Exe" anexado a uma mensagem de email. A mensagem tem o assunto "Problema da Internet no ano 2000". e o texto da mensagem é escrito em dois idiomas: inglês e espanhol: Estimado Cliente: Rogantes actualizar / descobrir o sistema operacional para el Corrigido o funcionamento da Internet a partir do ano 2000. Si Ud. es usuario de Windows 95/98 em vez disso Software provisto por Microsoft (C) llamado -Fix2001- que se encuentra adjunto en este E-Mail o bien puede ser descargado del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM Si Ud. es usuario de otros Sistemas Operativos, por favor, no deje de consultar com sus susourses sofports técnicos. Muchas Gracias. Administrador Cliente da Internet: Ficaremos felizes se você verificar o (s) seu (s) sistema (s) operacional (ais) antes Ano 2000 para evitar problemas com suas conexões de Internet. Se você é um usuário do Windows 95/98, pode verificar seu sistema usando o aplicativo Fix2001 anexado a este e-mail ou baixando-o do site da Microsoft (C) WEB: HTTP://WWW.MICROSOFT.COM Se você estiver usando outro sistema operacional, por favor não espere até o ano 2000, pergunte ao suporte técnico do sistema operacional. Obrigado. Administrador. O worm também contém strings de texto que são usadas para gerar e enviar dados anexados em uma mensagem de e-mail, assim como os textos: RCPT TO: @ hotmail.com> @ ciudad.com.ar> Fix2001 A CHAVE REAL PARA VIVER UMA FELIZ VIDA, É: SER UM BOM HOMEM. PARA CONSEGUIR LA VERDADERA FELICIDAD, SE UN BUEN TIPO. Instalação O arquivo anexado (o próprio worm) é um arquivo executável do Windows com cerca de 12Kb de comprimento. Quando executado, ele se instala no diretório do sistema Windows com o nome FIX2001.EXE e se registra na chave de registro do sistema "Run =" para ativar sua cópia a cada reinicialização do Windows: HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun Fix2001 = "FIX2001.EXE" O worm exibe a seguinte mensagem falsa para ocultar sua atividade: Espalhando Ao ser executado a partir da cópia FIX2001.EXE instalada, o worm se registra como um processo de serviço do sistema (para ocultar sua janela e permanecer ativo no logoff do usuário) com o título da janela de identificação "AMORE_TE_AMO"; obtém acesso à biblioteca de conexões da Internet WSOCK32.DLL; obtém endereços para funções "connect" e "send"; remendá-los com instruções de chamada para as prostitutas do verme; e fica na memória do Windows como aplicativos ocultos. Quando a conexão com a Internet é ativada, o worm verifica os dados que são enviados e recebidos, obtém endereços da Internet de lá e envia mensagens infectadas para esses endereços. Carga útil O worm tem uma carga útil muito perigosa que é ativada quando as strings de texto no corpo do worm são corrigidas ou corrompidas (isso é possível, porque os dados são transferidos através dos canais da Internet). Desta forma, o worm sobrescreve o arquivo C: COMMAND.COM com um Trojan DOS que, na próxima reinicialização do computador, apaga todos os dados no disco rígido.
	Link para o original

Email-Worm.Win32.Fix2001

Detalhes técnicos

Instalação

Espalhando

Carga útil