DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Fix2001

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein Virus-Wurm, der sich über das Internet verbreitet. Es funktioniert ähnlich wie der Wurm "Happy99" : Es installiert sich selbst im System, hakt die Internet-Zugang Windows-Funktionen, erhält Internet-Adressen, wo es seine Kopien sendet. Der Wurm hat Bugs und repliziert nur unter Win9x, nicht unter WinNT.

Der Wurm erscheint als eine "Fix20001.Exe" -Datei, die an eine E-Mail-Nachricht angehängt ist. Die Nachricht hat das Thema "Internet-Problemjahr 2000". und der Nachrichtentext ist in zwei Sprachen geschrieben: Englisch und Spanisch:


Estimado-Kunde:
Rogamos actualizar y / o verificar su Sistema Operativo für el
correcto funcionamiento de Internet ein partir del A�o 2000. Si
Ud. es usuario von Windows 95/98 puede hacerlo mediante el
Software provision von Microsoft (C) llamado -Fix2001- que se
encuentra adjunto en este E-Mail oder puede ser descargado
del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM
SiUd. es usuario de otros Sistemas Operativos, por Gunst, Nr
deje de consultar con sus respectivos soportes tecnicos.
Vielen Dank.
Administrator.
Internetkunde:
Wir werden uns freuen, wenn Sie Ihre operativen Systeme zuvor verifizieren
Jahr 2000, um Probleme mit Ihren Internetverbindungen zu vermeiden.
Wenn Sie ein Windows 95/98-Benutzer sind, können Sie Ihr System überprüfen
Verwenden der Fix2001-Anwendung, die an diese E-Mail angehängt ist
oder Herunterladen von der Microsoft (C) WEB Site:
HTTP://WWW.MICROSOFT.COM
Wenn Sie ein anderes Betriebssystem verwenden, warten Sie bitte nicht
Bis zum Jahr 2000 fragen Sie Ihren technischen Support.
Vielen Dank.
Administrator.

Der Wurm enthält außerdem Textzeichenfolgen, mit denen angehängte Daten in einer E-Mail-Nachricht generiert und gesendet werden, sowie die Texte:


RCPT zu:
@ hotmail.com>
@ ciudad.com.ar>
Fix2001
DER WIRKLICHE SCHLÜSSEL, EIN GLÜCKLICHES LEBEN ZU LEBEN, IST EIN GUTER MANN.
PARA CONSEGUIR LA VERDADERA FELICIDAD UND SE UN BUEN TIPO.

Installation

Die angehängte Datei (der Wurm selbst) ist eine ausführbare Windows-Datei mit einer Länge von ungefähr 12 KB. Wenn es ausgeführt wird, installiert es sich in dem System Windows-Verzeichnis mit dem FIX2001.EXE-Namen und registriert sich in dem "Run =" Systemregistrierungsschlüssel, um seine Kopie bei jedem Windows-Neustart zu aktivieren:


HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun
Fix2001 = "FIX2001.EXE"

Der Wurm zeigt dann die folgende gefälschte Nachricht an, um seine Aktivität zu verbergen:

Verbreitung

Wenn der Wurm von der installierten FIX2001.EXE-Kopie ausgeführt wird, registriert er sich selbst als Systemdienstprozess (um sein Fenster auszublenden und beim Abmelden des Benutzers aktiv zu bleiben) mit der Überschrift "AMORE_TE_AMO". erhält Zugriff auf die WSOCK32.DLL-Internetverbindungsbibliothek; erhält Adressen für "Connect" – und "Send" -Funktionen; packt sie mit Anrufanweisungen zu den Nutten des Wurms; und bleibt im Windows-Speicher als versteckte Anwendungen.

Wenn die Internetverbindung aktiviert ist, scannt der Wurm gesendete und empfangene Daten, ruft Internetadressen von dort ab und sendet infizierte Nachrichten an diese Adressen.

Nutzlast

Der Wurm hat eine sehr gefährliche Nutzlast, die aktiviert wird, wenn die Textzeichenketten im Körper des Wurms gepatcht oder beschädigt sind (dies ist möglich, weil die Daten über Internetkanäle übertragen werden). Auf diese Weise überschreibt der Wurm die Datei C: COMMAND.COM mit einem DOS-Trojaner, der beim nächsten Neustart des Computers alle Daten auf der Festplatte löscht.


Link zum Original