Email-Worm.Win32.Fix2001

Jest to robak rozprzestrzeniaj膮cy si臋 za po艣rednictwem internetu. Szkodnik dzia艂a identycznie jak robak I-Worm.Happy : instaluje si臋 w systemie, przejmuje internetowe funkcje Windows i przy u偶yciu adres贸w internetowych wysy艂a swoje kopie. Wirus z powod贸w b艂臋d贸w w swojej budowie mo偶e replikowa膰 si臋 tylko w 艣rodowiskach Win9x i WinNT.

Robak ukazuje si臋 jako plik Fix20001.Exe do艂膮czony do przesy艂ki e-mail. Wiadomo艣膰 nosi tytu艂 Internet problem year 2000, a tekst wiadomo艣ci napisany jest w dw贸ch j臋zykach: angielskim i hiszpa艅skim.

Estimado Cliente:
Rogamos actualizar y/o verificar su Sistema Operativo para el
correcto funcionamiento de Internet a partir del Aco 2000. Si
Ud. es usuario de Windows 95 / 98 puede hacerlo mediante el
Software provisto por Microsoft (C) llamado -Fix2001- que se
encuentra adjunto en este E-Mail o bien puede ser descargado
del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM
Si Ud. es usuario de otros Sistemas Operativos, por favor, no
deje de consultar con sus respectivos soportes tecnicos.
Muchas Gracias.
Administrador.
Internet Customer:
We will be glad if you verify your Operative System(s) before
Year 2000 to avoid problems with your Internet Connections.
If you are a Windows 95 / 98 user, you can check your system
using the Fix2001 application that is attached to this E-Mail
or downloading it from Microsoft (C) WEB Site:
HTTP://WWW.MICROSOFT.COM
If you are using another Operative System, please don't wait
until Year 2000, ask your OS Technical Support.
Thanks.
Administrator. 

Oto polskie znaczenie wiadomo艣ci:

U偶ytkowniku Internetu: B臋dziemy niezwykle zadowoleni je偶eli ju偶 teraz sprawdzisz
zachowanie swojego systemu wzg po艂膮cze艅 internetowych 
w roku 2000. Je偶eli jeste艣 u偶ytkownikiem systemu Win95/98
przetestuj sw贸j system za pomoc膮 aplikacji Fix2001
do艂膮czonej do tej wiadomo艣ci, albo pobieraj膮c odpowiedni膮
ze strony Microsoft (C): HTTP://WWW.MICROSOFT.COM
Je偶eli u偶ywasz innego systemu operacyjnego nie czekaj
na rok 2000. Spytaj swojego Doradc臋 Technicznego.
Dzi臋kuj臋!
Administrator. 

Ponadto robak zawiera tekst, kt贸ry jest u偶ywany do generowania i wysy艂ania wiadomo艣ci za po艣rednictwem poczty elektronicznej:

RCPT TO:
@elrancho.com>
@hotmail.com>
@ciudad.com.ar>

Fix2001
THE REAL KEY TO LIVE A HAPPY LIFE IS: BE A GOOD MAN.
PARA CONSEGUIR LA VERDADERA FELICIDAD, SE UN BUEN TIPO. 

Instalacja

Do艂膮czony plik (robak) jest wykonywalnym plikiem Windows o wielko艣ci 12 KB. Gdy zostanie uruchomiony, instaluje si臋 w katalogu systemowym Windows pod nazw膮 FIX2001.EXE i rejestruje si臋 w systemowym kluczu rejestru "Run=", by aktywowa膰 swoj膮 kopi臋 przy ka偶dym restarcie Windows:

HKEY_LOCAL_MASHINESoftwareMicrosoftWindows
CurrentVersionRun
Fix2001 = "FIX2001.EXE"

Aby ukry膰 swoj膮 aktywno艣膰 robak wy艣wietla fa艂szyw膮 wiadomo艣膰.

Rozprzestrzenianie

Podczas uruchomienia, wirus instaluje swoja kopi臋 FIX2001.EXE, rejestruje si臋 w us艂ugach systemowych (by ukry膰 okno i pozosta膰 aktywnym) z identyfikatorem nag艂贸wka Windows AMORE_TE_AMO, przez co zyskuje dost臋p do biblioteki po艂膮cze艅 internetowych WSOCK32.DLL, otrzymuje adresy funkcji "po艂膮czenie" i "wysy艂anie", kt贸rych u偶ywa do wywo艂ywania instrukcji robaka, kt贸ry umiejscawia si臋 w pami臋ci Windows jako aplikacja ukryta. Gdy ustanowione zostanie po艂膮czenie z internetem, robak skanuje dane w poszukiwaniu adres贸w internetowych, przy u偶yciu kt贸rych si臋 rozprzestrzenia.

Mechanizm dzia艂ania Robak ma niezwykle gro藕ny w skutkach mechanizm obronny na wypadek, gdyby tekst wewn膮trz jego cia艂a zmieni艂 si臋 lub zosta艂 zniszczony (jest to mo偶liwe, gdy偶 robak rozprzestrzenia si臋 za pomoc膮 internetu). W takim wypadku robak nadpisuje plik C:COMMAND.COM koniem troja艅skim, kt贸ry w przypadku w/w zagro偶enia wyzwala mechanizm usuwaj膮cy wszystkie dane z dysku twardego, podczas kolejnego uruchomienia systemu.