Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

C'est un virus-virus qui se propage via Internet. Il fonctionne de la même manière que le ver "Happy99" : il s'installe dans le système, accroche l'accès Internet aux fonctions Windows, obtient les adresses Internet à l'endroit où il envoie ses copies. Le ver a des bogues et des répliques sous Win9x seulement, pas sous WinNT.

Le ver apparaît sous la forme d'un fichier "Fix20001.Exe" joint à un message électronique. Le message a pour sujet "Internet problème année 2000." et le texte du message est écrit en deux langues: anglais et espagnol:



Estimé Cliente:

Rogamos actualizar y / o verificar su Sistema Operativo para el

correct funcionamiento de Internet à partir de Ao 2000. 2000. Si

Ud. Utilitaire de Windows 95/98 puede hacerlo mediante el

Logiciel fourni par Microsoft (C) llamado -Fix2001- que se

encuentra adjunto en este E-Mail o bien puede ser descargado

Site Web de Microsoft (C) HTTP://WWW.MICROSOFT.COM

Si Ud. L'usuario de otros Sistemas Operativos, por favor, aucun

deje de consultar con sus respectivos soportes tecnicos.

Merci beaucoup.

Administrateur.

Client Internet:

Nous serons heureux si vous vérifiez votre (vos) système (s) opérationnel (s) avant

Année 2000 pour éviter les problèmes avec vos connexions Internet.

Si vous êtes un utilisateur Windows 95/98, vous pouvez vérifier votre système

en utilisant l'application Fix2001 jointe à cet e-mail

ou en le téléchargeant à partir du site Web de Microsoft (C):

HTTP://WWW.MICROSOFT.COM

Si vous utilisez un autre système d'exploitation, n'attendez pas

jusqu'à l'an 2000, demandez l'assistance technique de votre système d'exploitation.

Merci.

Administrateur.

Le ver contient également des chaînes de texte utilisées pour générer et envoyer des données jointes dans un message électronique, ainsi que les textes:



RCPT À: 

@ hotmail.com>

@ ciudad.com.ar>

Fix2001

LA VRAIE CLÉ DE VIVRE UNE VIE HEUREUSE EST: ÊTRE UN BON HOMME.

PARA CONSEGUIR LA VERDADERA FELICIDAD, SE UN BUEN TIPO.

Installation

Le fichier joint (le ver lui-même) est un fichier exécutable Windows d'environ 12 Ko de longueur. Une fois exécuté, il s'installe dans le répertoire Windows du système avec le nom FIX2001.EXE et s'enregistre lui-même dans la clé de registre du système "Run =" pour activer sa copie à chaque redémarrage de Windows:



HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun

Fix2001 = "FIX2001.EXE"

Le ver affiche alors le faux message suivant pour cacher son activité:

Diffusion

Lors de l'exécution à partir de la copie FIX2001.EXE installée, le ver s'enregistre comme processus de service système (pour masquer sa fenêtre et rester actif lors de la fermeture de session utilisateur) avec le titre de la fenêtre d'identification "AMORE_TE_AMO"; accède à la bibliothèque de connexion Internet WSOCK32.DLL; obtient des adresses pour les fonctions "connecter" et "envoyer"; les patches avec des instructions d'appel aux prostituées du ver; et reste dans la mémoire de Windows en tant qu'applications cachées.

Lorsque la connexion Internet est activée, le ver analyse les données envoyées et reçues, obtient des adresses Internet à partir de là et envoie des messages infectés à ces adresses.

Charge utile

Le ver a une charge utile très dangereuse qui est activée lorsque les chaînes de texte dans le corps du ver sont corrigées ou corrompues (cela est possible, car les données sont transférées via des canaux Internet). De cette façon, le ver écrase le fichier C: COMMAND.COM avec un cheval de Troie DOS qui effacera toutes les données sur le disque dur lors du prochain redémarrage de l'ordinateur.

Lien vers l'original

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques C'est un virus-virus qui se propage via Internet. Il fonctionne de la même manière que le ver "Happy99" : il s'installe dans le système, accroche l'accès Internet aux fonctions Windows, obtient les adresses Internet à l'endroit où il envoie ses copies. Le ver a des bogues et des répliques sous Win9x seulement, pas sous WinNT. Le ver apparaît sous la forme d'un fichier "Fix20001.Exe" joint à un message électronique. Le message a pour sujet "Internet problème année 2000." et le texte du message est écrit en deux langues: anglais et espagnol: Estimé Cliente: Rogamos actualizar y / o verificar su Sistema Operativo para el correct funcionamiento de Internet à partir de Ao 2000. 2000. Si Ud. Utilitaire de Windows 95/98 puede hacerlo mediante el Logiciel fourni par Microsoft (C) llamado -Fix2001- que se encuentra adjunto en este E-Mail o bien puede ser descargado Site Web de Microsoft (C) HTTP://WWW.MICROSOFT.COM Si Ud. L'usuario de otros Sistemas Operativos, por favor, aucun deje de consultar con sus respectivos soportes tecnicos. Merci beaucoup. Administrateur. Client Internet: Nous serons heureux si vous vérifiez votre (vos) système (s) opérationnel (s) avant Année 2000 pour éviter les problèmes avec vos connexions Internet. Si vous êtes un utilisateur Windows 95/98, vous pouvez vérifier votre système en utilisant l'application Fix2001 jointe à cet e-mail ou en le téléchargeant à partir du site Web de Microsoft (C): HTTP://WWW.MICROSOFT.COM Si vous utilisez un autre système d'exploitation, n'attendez pas jusqu'à l'an 2000, demandez l'assistance technique de votre système d'exploitation. Merci. Administrateur. Le ver contient également des chaînes de texte utilisées pour générer et envoyer des données jointes dans un message électronique, ainsi que les textes: RCPT À: @ hotmail.com> @ ciudad.com.ar> Fix2001 LA VRAIE CLÉ DE VIVRE UNE VIE HEUREUSE EST: ÊTRE UN BON HOMME. PARA CONSEGUIR LA VERDADERA FELICIDAD, SE UN BUEN TIPO. Installation Le fichier joint (le ver lui-même) est un fichier exécutable Windows d'environ 12 Ko de longueur. Une fois exécuté, il s'installe dans le répertoire Windows du système avec le nom FIX2001.EXE et s'enregistre lui-même dans la clé de registre du système "Run =" pour activer sa copie à chaque redémarrage de Windows: HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun Fix2001 = "FIX2001.EXE" Le ver affiche alors le faux message suivant pour cacher son activité: Diffusion Lors de l'exécution à partir de la copie FIX2001.EXE installée, le ver s'enregistre comme processus de service système (pour masquer sa fenêtre et rester actif lors de la fermeture de session utilisateur) avec le titre de la fenêtre d'identification "AMORE_TE_AMO"; accède à la bibliothèque de connexion Internet WSOCK32.DLL; obtient des adresses pour les fonctions "connecter" et "envoyer"; les patches avec des instructions d'appel aux prostituées du ver; et reste dans la mémoire de Windows en tant qu'applications cachées. Lorsque la connexion Internet est activée, le ver analyse les données envoyées et reçues, obtient des adresses Internet à partir de là et envoie des messages infectés à ces adresses. Charge utile Le ver a une charge utile très dangereuse qui est activée lorsque les chaînes de texte dans le corps du ver sont corrigées ou corrompues (cela est possible, car les données sont transférées via des canaux Internet). De cette façon, le ver écrase le fichier C: COMMAND.COM avec un cheval de Troie DOS qui effacera toutes les données sur le disque dur lors du prochain redémarrage de l'ordinateur.
	Lien vers l'original

Email-Worm.Win32.Fix2001

Détails techniques

Installation

Diffusion

Charge utile