Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o virový červ, který se šíří přes internet. Funguje podobně jako červ "Happy99" : instaluje se do systému, zavěsí přístup k Internetu k funkcím Windows a získává internetové adresy tam, kde odešle své kopie. Červ má chyby a repliky pouze pod Win9x, ne pod WinNT.

Červ se zobrazí jako soubor "Fix20001.exe" připojený k e-mailové zprávě. Zpráva má téma "Internetový problém roku 2000." a text zprávy je napsán ve dvou jazycích: angličtina a španělština:



Estimado Cliente:

Aktualizace systému Rogaos zašifrována systémem Operativo el el

správně fungující Internet a partir del A�o 2000. Si

Ud. es usuario de Windows 95/98 puede hacerlo mediante el

Software pro Microsoft Microsoft (C) llamado -Fix2001- que se

encuentra je doplněno o e-mail o bien puede ser descargado

del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM

Si Ud. es usuario de otros Sistemas Operativos, por favor, č

deje de consultar con sus téos soportes tecnicos.

Muchas Gracias.

Administrador.

Zákazník internetu:

Budeme rádi, pokud předtím ověříte operační systém (y)

Rok 2000, aby se předešlo problémům s připojením k internetu.

Pokud jste uživatel Windows 95/98, můžete zkontrolovat systém

pomocí aplikace Fix2001, která je připojena k tomuto e-mailu

nebo stahování z webových stránek společnosti Microsoft (C):

HTTP://WWW.MICROSOFT.COM

Pokud používáte jiný Operační systém, nečekejte

až do roku 2000, požádejte o technickou podporu OS.

Dík.

Správce.

Červ obsahuje také textové řetězce, které se používají k generování a odesílání připojených dat v e-mailové zprávě, stejně jako texty:



RCPT TO: 

@ hotmail.com>

@ ciudad.com.ar>

Fix2001

REÁLNÍ KEY, ŽE ŽIJE ŽIVOTNÍ ŽIVOT, JE: BÝT DOBRÝ ČLOVEK.

PARA CONSEGUIR LA VERDADERA FELICIDAD SE SE BUEN TIPO.

Instalace

Přiložený soubor (samotný červa) je spustitelný soubor systému Windows o délce přibližně 12 kB. Při spuštění se nainstaluje do adresáře systému Windows s názvem FIX2001.EXE a zaregistruje se v klíči registru systému "Run =", čímž aktivuje svou kopii při každém restartu systému Windows:



HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun

Fix2001 = "FIX2001.EXE"

Červ potom zobrazí následující falešnou zprávu pro skrytí své aktivity:

Šíření

Po spuštění z nainstalované kopie FIX2001.EXE se červ zaregistruje jako systémový servisní proces (skrývá okno a zůstává aktivní po odhlášení uživatele) s nadpisem "AMORE_TE_AMO" Window's; získá přístup k knihovně pro připojení k Internetu WSOCK32.DLL; získává adresy pro funkce "connect" a "send"; rozděluje je pomocí instrukcí k zavěšení červa červa; a zůstává v paměti systému Windows jako skryté aplikace.

Když je aktivováno připojení k Internetu, červa kontroluje odeslaná a přijatá data, odtud získává internetové adresy a odesílá infikované zprávy na tyto adresy.

Užitné zatížení

Červ má velmi nebezpečné užitečné zatížení, které je aktivováno, když jsou textové řetězce v těle červu opravovány nebo poškozeny (to je možné, protože data jsou přenášena prostřednictvím internetových kanálů). Tímto způsobem červa přepíše soubor C: COMMAND.COM s trojúhelníkem DOS, který při dalším restartování počítače vymaže všechna data na pevném disku.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o virový červ, který se šíří přes internet. Funguje podobně jako červ "Happy99" : instaluje se do systému, zavěsí přístup k Internetu k funkcím Windows a získává internetové adresy tam, kde odešle své kopie. Červ má chyby a repliky pouze pod Win9x, ne pod WinNT. Červ se zobrazí jako soubor "Fix20001.exe" připojený k e-mailové zprávě. Zpráva má téma "Internetový problém roku 2000." a text zprávy je napsán ve dvou jazycích: angličtina a španělština: Estimado Cliente: Aktualizace systému Rogaos zašifrována systémem Operativo el el správně fungující Internet a partir del A�o 2000. Si Ud. es usuario de Windows 95/98 puede hacerlo mediante el Software pro Microsoft Microsoft (C) llamado -Fix2001- que se encuentra je doplněno o e-mail o bien puede ser descargado del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM Si Ud. es usuario de otros Sistemas Operativos, por favor, č deje de consultar con sus téos soportes tecnicos. Muchas Gracias. Administrador. Zákazník internetu: Budeme rádi, pokud předtím ověříte operační systém (y) Rok 2000, aby se předešlo problémům s připojením k internetu. Pokud jste uživatel Windows 95/98, můžete zkontrolovat systém pomocí aplikace Fix2001, která je připojena k tomuto e-mailu nebo stahování z webových stránek společnosti Microsoft (C): HTTP://WWW.MICROSOFT.COM Pokud používáte jiný Operační systém, nečekejte až do roku 2000, požádejte o technickou podporu OS. Dík. Správce. Červ obsahuje také textové řetězce, které se používají k generování a odesílání připojených dat v e-mailové zprávě, stejně jako texty: RCPT TO: @ hotmail.com> @ ciudad.com.ar> Fix2001 REÁLNÍ KEY, ŽE ŽIJE ŽIVOTNÍ ŽIVOT, JE: BÝT DOBRÝ ČLOVEK. PARA CONSEGUIR LA VERDADERA FELICIDAD SE SE BUEN TIPO. Instalace Přiložený soubor (samotný červa) je spustitelný soubor systému Windows o délce přibližně 12 kB. Při spuštění se nainstaluje do adresáře systému Windows s názvem FIX2001.EXE a zaregistruje se v klíči registru systému "Run =", čímž aktivuje svou kopii při každém restartu systému Windows: HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun Fix2001 = "FIX2001.EXE" Červ potom zobrazí následující falešnou zprávu pro skrytí své aktivity: Šíření Po spuštění z nainstalované kopie FIX2001.EXE se červ zaregistruje jako systémový servisní proces (skrývá okno a zůstává aktivní po odhlášení uživatele) s nadpisem "AMORE_TE_AMO" Window's; získá přístup k knihovně pro připojení k Internetu WSOCK32.DLL; získává adresy pro funkce "connect" a "send"; rozděluje je pomocí instrukcí k zavěšení červa červa; a zůstává v paměti systému Windows jako skryté aplikace. Když je aktivováno připojení k Internetu, červa kontroluje odeslaná a přijatá data, odtud získává internetové adresy a odesílá infikované zprávy na tyto adresy. Užitné zatížení Červ má velmi nebezpečné užitečné zatížení, které je aktivováno, když jsou textové řetězce v těle červu opravovány nebo poškozeny (to je možné, protože data jsou přenášena prostřednictvím internetových kanálů). Tímto způsobem červa přepíše soubor C: COMMAND.COM s trojúhelníkem DOS, který při dalším restartování počítače vymaže všechna data na pevném disku.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.Win32.Fix2001

Technické údaje

Instalace

Šíření

Užitné zatížení