Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь, поражающий компьютеры под управлением Windows. Распространяет
свои копии через Интернет: перехватывает соединение с сетью Интернет,
определяет интернет-адреса, с которыми ведется переписка, и отсылает на эти
адреса свои копии. По причине ошибок червь работоспособен только под
Win95/98 и не работает под WinNT.

На компьютер попадает в виде письма с вложенным EXE-файлом «Fix2001.Exe»,
являющимся на самом деле кодом червя. Заголовок (Subject) письма содержит
строку «Internet problem year 2000.», а само сообщение содержит два текста
на английском и испанском языках:



Estimado Cliente:

Rogamos actualizar y/o verificar su Sistema Operativo para el

correcto funcionamiento de Internet a partir del Aёo 2000. Si

Ud. es usuario de  Windows 95 / 98  puede hacerlo mediante el

Software provisto por  Microsoft (C) llamado -Fix2001- que se

encuentra adjunto en este E-Mail o bien  puede ser descargado

del sitio WEB de Microsoft (C)  HTTP://WWW.MICROSOFT.COM

Si Ud. es usuario de otros Sistemas Operativos, por favor, no

deje de consultar con sus respectivos soportes tecnicos.

Muchas Gracias.

Administrador.

Internet Customer:

We will be glad if you verify your Operative System(s) before

Year 2000 to avoid problems with your Internet Connections.

If you are a  Windows 95 / 98 user, you can check your system

using the Fix2001 application that is attached to this E-Mail

or downloading it from Microsoft (C) WEB Site:

HTTP://WWW.MICROSOFT.COM

If you are using  another Operative System, please don’t wait

until Year 2000, ask your OS Technical Support.

Thanks.

Administrator.

Червь также содержит текстовые строки, используемые при посылке сообщения и
генерации файла-вложение, и прочий текст:



RCPT TO:

@hotmail.com>

@ciudad.com.ar>

Fix2001

THE REAL KEY TO LIVE A HAPPY LIFE, IS: BE A GOOD MAN.

PARA CONSEGUIR LA VERDADERA FELICIDAD, SE UN BUEN TIPO.

Инсталляция в систему

Вложенный в зараженное сообщение EXE-файл (тело червя) является выполняемым
файлом Win32 длиной около 12K. При запуске этого EXE-файла червь копирует
себя в каталог Windows с именем FIX2001.EXE и регистрирует этот файл в поле
автозапуска программ «Run=» системного реестра:



HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun

Fix2001 = «FIX2001.EXE»

Для того, чтобы скрыть свою инсталляцию червь выводит сообщение:

Размножение

При запуске файла FIX2001.EXE (при очередной перехагрузке Windows) червь
регистрирует себя в памяти Windows как системный сервис (для того, чтобы
сделать невидимым свой процесс и оставаться в памяти Windows при log-off
текущего пользователя). Процесс червя имеет заголовок «AMORE_TE_AMO». Затем
червь патчит код WSOCK32.DLL и получает доступ к функциям работы с Интернет
(«connect» и «send»).

При установке Интернет-соединения червь сканирует принимаемые и
отправляемые данные, выделяет из них Интернет-адреса и посылает по этим
адресам свои копии.

Проявление

Червь содержит крайне опасную процедуру, которая активизируется в том
случае, если текстовые строки в теле червя оказываются изменены (это может
произойти, например, при порче данных при их передаче через сеть Интернет).
В этом случае червь записывает в файл C:COMMAND.COM процедуру, которая при
следующей перезагрузке стирает все данные на диске.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь, поражающий компьютеры под управлением Windows. Распространяет свои копии через Интернет: перехватывает соединение с сетью Интернет, определяет интернет-адреса, с которыми ведется переписка, и отсылает на эти адреса свои копии. По причине ошибок червь работоспособен только под Win95/98 и не работает под WinNT. На компьютер попадает в виде письма с вложенным EXE-файлом «Fix2001.Exe», являющимся на самом деле кодом червя. Заголовок (Subject) письма содержит строку «Internet problem year 2000.», а само сообщение содержит два текста на английском и испанском языках: Estimado Cliente: Rogamos actualizar y/o verificar su Sistema Operativo para el correcto funcionamiento de Internet a partir del Aёo 2000. Si Ud. es usuario de Windows 95 / 98 puede hacerlo mediante el Software provisto por Microsoft (C) llamado -Fix2001- que se encuentra adjunto en este E-Mail o bien puede ser descargado del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM Si Ud. es usuario de otros Sistemas Operativos, por favor, no deje de consultar con sus respectivos soportes tecnicos. Muchas Gracias. Administrador. Internet Customer: We will be glad if you verify your Operative System(s) before Year 2000 to avoid problems with your Internet Connections. If you are a Windows 95 / 98 user, you can check your system using the Fix2001 application that is attached to this E-Mail or downloading it from Microsoft (C) WEB Site: HTTP://WWW.MICROSOFT.COM If you are using another Operative System, please don’t wait until Year 2000, ask your OS Technical Support. Thanks. Administrator. Червь также содержит текстовые строки, используемые при посылке сообщения и генерации файла-вложение, и прочий текст: RCPT TO: @hotmail.com> @ciudad.com.ar> Fix2001 THE REAL KEY TO LIVE A HAPPY LIFE, IS: BE A GOOD MAN. PARA CONSEGUIR LA VERDADERA FELICIDAD, SE UN BUEN TIPO. Инсталляция в систему Вложенный в зараженное сообщение EXE-файл (тело червя) является выполняемым файлом Win32 длиной около 12K. При запуске этого EXE-файла червь копирует себя в каталог Windows с именем FIX2001.EXE и регистрирует этот файл в поле автозапуска программ «Run=» системного реестра: HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRun Fix2001 = «FIX2001.EXE» Для того, чтобы скрыть свою инсталляцию червь выводит сообщение: Размножение При запуске файла FIX2001.EXE (при очередной перехагрузке Windows) червь регистрирует себя в памяти Windows как системный сервис (для того, чтобы сделать невидимым свой процесс и оставаться в памяти Windows при log-off текущего пользователя). Процесс червя имеет заголовок «AMORE_TE_AMO». Затем червь патчит код WSOCK32.DLL и получает доступ к функциям работы с Интернет («connect» и «send»). При установке Интернет-соединения червь сканирует принимаемые и отправляемые данные, выделяет из них Интернет-адреса и посылает по этим адресам свои копии. Проявление Червь содержит крайне опасную процедуру, которая активизируется в том случае, если текстовые строки в теле червя оказываются изменены (это может произойти, например, при порче данных при их передаче через сеть Интернет). В этом случае червь записывает в файл C:COMMAND.COM процедуру, которая при следующей перезагрузке стирает все данные на диске.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Fix2001

Technical Details

Инсталляция в систему

Размножение

Проявление