ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Fix2001

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un virus-gusano que se propaga a través de Internet. Funciona de manera similar al gusano "Happy99" : se instala en el sistema, engancha las funciones de acceso a Internet de Windows, obtiene direcciones de Internet a donde envía sus copias. El gusano tiene errores y réplicas solo bajo Win9x, no bajo WinNT.

El gusano aparece como un archivo "Fix20001.Exe" adjunto a un mensaje de correo electrónico. El mensaje tiene el tema "Internet problem year 2000." y el texto del mensaje está escrito en dos idiomas: inglés y español:


Estimado Cliente:
Rogamos actualizar y / o verificar su Sistema Operativo para el
correcto funcionamiento de Internet desde el año 2000. Si
Ud. es usuario de Windows 95/98 puede hacerlo mediante el
Software provisto por Microsoft (C) llamado -Fix2001- que se
encuentra adjunto en este E-Mail o bien puede ser descargado
del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM
Si Ud. es usuario de otros Sistemas Operativos, por favor, no
dejar de consultar con sus votos soportes tecnicos.
Muchas gracias.
Administrador.
Cliente de Internet:
Estaremos encantados si verificas tu (s) sistema (s) operativo (s) antes
Año 2000 para evitar problemas con sus conexiones a Internet.
Si es usuario de Windows 95/98, puede verificar su sistema
utilizando la aplicación Fix2001 adjunta a este correo electrónico
o descargándolo del sitio web de Microsoft (C):
HTTP://WWW.MICROSOFT.COM
Si está utilizando otro sistema operativo, no espere
hasta el año 2000, pregúntele a su soporte técnico de sistema operativo.
Gracias.
Administrador.

El gusano también contiene cadenas de texto que se utilizan para generar y enviar datos adjuntos en un mensaje de correo electrónico, así como los textos:


RCPT A:
@ hotmail.com>
@ ciudad.com.ar>
Fix2001
LA VERDADERA CLAVE PARA VIVIR UNA VIDA FELIZ, ES: SEA UN BUEN HOMBRE.
PARA CONSEGUIR LA VERDADERA FELICIDAD, SE UN BUEN TIPO.

Instalación

El archivo adjunto (el gusano en sí) es un archivo ejecutable de Windows de aproximadamente 12 Kb de longitud. Cuando se ejecuta, se instala en el directorio de Windows del sistema con el nombre FIX2001.EXE y se registra en la clave de registro del sistema "Ejecutar =" para activar su copia en cada reinicio de Windows:


HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun
Fix2001 = "FIX2001.EXE"

El gusano muestra el siguiente mensaje falso para ocultar su actividad:

Extensión

Al ejecutarse desde la copia FIX2001.EXE instalada, el gusano se registra a sí mismo como un proceso de servicio del sistema (para ocultar su ventana y mantenerse activo luego del cierre de sesión del usuario) con el titular de la ventana de identificación "AMORE_TE_AMO"; obtiene acceso a la biblioteca de conexión a Internet WSOCK32.DLL; obtiene direcciones para las funciones "conectar" y "enviar"; los remueve con instrucciones de llamada a las prostitutas del gusano; y permanece en la memoria de Windows como aplicaciones ocultas.

Cuando se activa la conexión a Internet, el gusano escanea los datos que se envían y reciben, obtiene direcciones de Internet desde allí y envía mensajes infectados a estas direcciones.

Carga útil

El gusano tiene una carga útil muy peligrosa que se activa cuando las cadenas de texto en el cuerpo del gusano están parcheadas o corrompidas (esto es posible porque los datos se transfieren a través de canales de Internet). De esta forma, el gusano sobrescribe el archivo C: COMMAND.COM con un troyano DOS que, al reiniciarse la próxima computadora, borra todos los datos en el disco duro.


Enlace al original