本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Fix2001

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これはインターネットを介して広がるウイルスワームです。これは、 "Happy99"ワームと同様に動作します。システムに自身をインストールし、インターネットアクセスのWindows機能をフックし、インターネットアドレスを取得してそのコピーをどこに送信します。ワームはWinNTではなく、Win9xのみでバグと複製を行います。

このワームは、電子メールメッセージに添付された "Fix20001.Exe"ファイルとして表示されます。メッセージには「Internet problem year 2000」という件名があります。メッセージ本文は英語とスペイン語の2つの言語で書かれています。


Estimado Cliente:
ロガモスは、実際の行動とは対照的に、
2000年代のインターネット機能を修正しました.Si
Ud。 Windows 95/98ユーザーズガイド
マイクロソフト(C)のソフトウェアダウンロード – Fix2001- que se
E-Mailに付随するエンクロージャ
マイクロソフト(C)HTTP://WWW.MICROSOFT.COM
Si Ud。シスメス・オペラビショー、賛成、いいえ
コンサルタントはコンサルタントとしての責任を負います。
ムチャス・グラシアス。
管理官。
インターネット顧客:
あなたが以前にあなたの手術システムを確認したら、私たちは喜んでいます。
インターネット接続の問題を避けるために2000年。
Windows 95/98ユーザーの場合は、システムをチェックすることができます
この電子メールに添付されているFix2001アプリケーションを使用して
Microsoft(C)Webサイトからダウンロードしてください:
HTTP://WWW.MICROSOFT.COM
別のオペラティブシステムを使用している場合は、待ってはいけません
2000年まで、お使いのOSのテクニカルサポートにお尋ねください。
ありがとう。
管理者。

このワームには、添付のデータを電子メールメッセージで生成して送信するためのテキスト文字列と、テキストも含まれています。


RCPT TO:
@ hotmail.com>
@ ciudad.com.ar>
Fix2001
幸せな生活を送るための本当の鍵は、良い人になることです。
ラ・ヴェルデデラ・フェリシド、SE UN BUEN TIPOのPARA CONSEGUIR

インストール

添付ファイル(ワーム自体)は約12KbのWindows実行ファイルです。実行されると、FIX2001.EXEの名前でシステムのWindowsディレクトリに自身をインストールし、 "Run ="システムレジストリキーに自身を登録して、各Windowsの再起動時にそのコピーをアクティブにします。


HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun
Fix2001 = "FIX2001.EXE"

次に、ワームはその活動を隠すために次の偽のメッセージを表示します。

広がる

インストールされたFIX2001.EXEのコピーから実行されると、ワームは "AMORE_TE_AMO"識別ウィンドウの見出しを使用して自身をシステムサービスプロセスとして登録し(そのウィンドウを非表示にし、ユーザーのログオフ時にアクティブ状態を維持します) WSOCK32.DLLインターネット接続ライブラリにアクセスできます。 "connect"と "send"関数のアドレスを取得します。ワームの売春斡旋業者にコール命令でそれらをパッチする。隠されたアプリケーションとしてWindowsのメモリにとどまります。

インターネット接続が有効になると、ワームは送受信されるデータをスキャンし、そこからインターネットアドレスを取得し、感染したメッセージをこれらのアドレスに送信します。

ペイロード

ワームは、非常に危険なペイロードを持ち、ワーム本体のテキスト文字列がパッチまたは破損したときにアクティブになります(インターネットチャネルを介してデータが転送されるため可能です)。このように、このワームは、C:COMMAND.COMファイルを次のコンピュータの再起動時にハードドライブ上のすべてのデータを消去するDOSトロイの木馬で上書きします。


オリジナルへのリンク