Email-Worm.Win32.Fix2001

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь, поражающий компьютеры под управлением Windows. Распространяет
свои копии через Интернет: перехватывает соединение с сетью Интернет,
определяет интернет-адреса, с которыми ведется переписка, и отсылает на эти
адреса свои копии. По причине ошибок червь работоспособен только под
Win95/98 и не работает под WinNT.

На компьютер попадает в виде письма с вложенным EXE-файлом «Fix2001.Exe»,
являющимся на самом деле кодом червя. Заголовок (Subject) письма содержит
строку «Internet problem year 2000.», а само сообщение содержит два текста
на английском и испанском языках:


Estimado Cliente:
Rogamos actualizar y/o verificar su Sistema Operativo para el
correcto funcionamiento de Internet a partir del Aёo 2000. Si
Ud. es usuario de Windows 95 / 98 puede hacerlo mediante el
Software provisto por Microsoft (C) llamado -Fix2001- que se
encuentra adjunto en este E-Mail o bien puede ser descargado
del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM
Si Ud. es usuario de otros Sistemas Operativos, por favor, no
deje de consultar con sus respectivos soportes tecnicos.
Muchas Gracias.
Administrador.
Internet Customer:
We will be glad if you verify your Operative System(s) before
Year 2000 to avoid problems with your Internet Connections.
If you are a Windows 95 / 98 user, you can check your system
using the Fix2001 application that is attached to this E-Mail
or downloading it from Microsoft (C) WEB Site:
HTTP://WWW.MICROSOFT.COM
If you are using another Operative System, please don’t wait
until Year 2000, ask your OS Technical Support.
Thanks.
Administrator.

Червь также содержит текстовые строки, используемые при посылке сообщения и
генерации файла-вложение, и прочий текст:


RCPT TO:
@hotmail.com>
@ciudad.com.ar>
Fix2001
THE REAL KEY TO LIVE A HAPPY LIFE, IS: BE A GOOD MAN.
PARA CONSEGUIR LA VERDADERA FELICIDAD, SE UN BUEN TIPO.

Инсталляция в систему

Вложенный в зараженное сообщение EXE-файл (тело червя) является выполняемым
файлом Win32 длиной около 12K. При запуске этого EXE-файла червь копирует
себя в каталог Windows с именем FIX2001.EXE и регистрирует этот файл в поле
автозапуска программ «Run=» системного реестра:


HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun
Fix2001 = «FIX2001.EXE»

Для того, чтобы скрыть свою инсталляцию червь выводит сообщение:

Размножение

При запуске файла FIX2001.EXE (при очередной перехагрузке Windows) червь
регистрирует себя в памяти Windows как системный сервис (для того, чтобы
сделать невидимым свой процесс и оставаться в памяти Windows при log-off
текущего пользователя). Процесс червя имеет заголовок «AMORE_TE_AMO». Затем
червь патчит код WSOCK32.DLL и получает доступ к функциям работы с Интернет
(«connect» и «send»).

При установке Интернет-соединения червь сканирует принимаемые и
отправляемые данные, выделяет из них Интернет-адреса и посылает по этим
адресам свои копии.

Проявление

Червь содержит крайне опасную процедуру, которая активизируется в том
случае, если текстовые строки в теле червя оказываются изменены (это может
произойти, например, при порче данных при их передаче через сеть Интернет).
В этом случае червь записывает в файл C:COMMAND.COM процедуру, которая при
следующей перезагрузке стирает все данные на диске.