ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Fix2001

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um vírus que se espalha pela Internet. Ele funciona de forma semelhante ao worm "Happy99" : ele se instala no sistema, conecta as funções do Windows de acesso à Internet, obtém endereços da Internet para onde envia suas cópias. O worm tem erros e replica somente no Win9x, não no WinNT.

O worm aparece como um arquivo "Fix20001.Exe" anexado a uma mensagem de email. A mensagem tem o assunto "Problema da Internet no ano 2000". e o texto da mensagem é escrito em dois idiomas: inglês e espanhol:


Estimado Cliente:
Rogantes actualizar / descobrir o sistema operacional para el
Corrigido o funcionamento da Internet a partir do ano 2000. Si
Ud. es usuario de Windows 95/98 em vez disso
Software provisto por Microsoft (C) llamado -Fix2001- que se
encuentra adjunto en este E-Mail o bien puede ser descargado
del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM
Si Ud. es usuario de otros Sistemas Operativos, por favor, no
deje de consultar com sus susourses sofports técnicos.
Muchas Gracias.
Administrador
Cliente da Internet:
Ficaremos felizes se você verificar o (s) seu (s) sistema (s) operacional (ais) antes
Ano 2000 para evitar problemas com suas conexões de Internet.
Se você é um usuário do Windows 95/98, pode verificar seu sistema
usando o aplicativo Fix2001 anexado a este e-mail
ou baixando-o do site da Microsoft (C) WEB:
HTTP://WWW.MICROSOFT.COM
Se você estiver usando outro sistema operacional, por favor não espere
até o ano 2000, pergunte ao suporte técnico do sistema operacional.
Obrigado.
Administrador.

O worm também contém strings de texto que são usadas para gerar e enviar dados anexados em uma mensagem de e-mail, assim como os textos:


RCPT TO:
@ hotmail.com>
@ ciudad.com.ar>
Fix2001
A CHAVE REAL PARA VIVER UMA FELIZ VIDA, É: SER UM BOM HOMEM.
PARA CONSEGUIR LA VERDADERA FELICIDAD, SE UN BUEN TIPO.

Instalação

O arquivo anexado (o próprio worm) é um arquivo executável do Windows com cerca de 12Kb de comprimento. Quando executado, ele se instala no diretório do sistema Windows com o nome FIX2001.EXE e se registra na chave de registro do sistema "Run =" para ativar sua cópia a cada reinicialização do Windows:


HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun
Fix2001 = "FIX2001.EXE"

O worm exibe a seguinte mensagem falsa para ocultar sua atividade:

Espalhando

Ao ser executado a partir da cópia FIX2001.EXE instalada, o worm se registra como um processo de serviço do sistema (para ocultar sua janela e permanecer ativo no logoff do usuário) com o título da janela de identificação "AMORE_TE_AMO"; obtém acesso à biblioteca de conexões da Internet WSOCK32.DLL; obtém endereços para funções "connect" e "send"; remendá-los com instruções de chamada para as prostitutas do verme; e fica na memória do Windows como aplicativos ocultos.

Quando a conexão com a Internet é ativada, o worm verifica os dados que são enviados e recebidos, obtém endereços da Internet de lá e envia mensagens infectadas para esses endereços.

Carga útil

O worm tem uma carga útil muito perigosa que é ativada quando as strings de texto no corpo do worm são corrigidas ou corrompidas (isso é possível, porque os dados são transferidos através dos canais da Internet). Desta forma, o worm sobrescreve o arquivo C: COMMAND.COM com um Trojan DOS que, na próxima reinicialização do computador, apaga todos os dados no disco rígido.


Link para o original