TU-Logo

TU Startseite


Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Microsoft IE
Java / JS
Win 3.1x
Win 32
Mac
Unix
Amiga
OS/2, Atari, NeXT,...
Suchmaschinen

erweiterte Suche in diesen Seiten
Privacy Policy

   

© TU Berlin, tubIT, Bearbeiter: Frank Ziemann  -  Update: 02.09.2009


Extra-Blatt

Win32/Fix2001 (alias I-Worm.Fix2001, W32/Fix)

Ein E-Mail-Wurm mit Schadensfunktion

Fix2001 ist ein 32-Bit-Windows-Programm, das als fix2001.exe per E-Mail hereinkommt. Die Betreff-Zeile (Subject) lautet 'Internet problem year 2000' und scheint von 'Administrator' zu kommen. Die Mail enthält in englisch und spanisch einen Text, der das Programm als nützliche Software ausgibt, die Jahr-2000-Probleme in der der installierten Internet-Software unter Windows 95/98 erkennen und beseitigen können soll. Es wird angegeben, man könne dieses Programm auch vom WWW-Server von Microsoft beziehen.

Zutreffend ist dabei allein, dass Fix2001 unter NT nicht richtig funktioniert, sich nicht weiterverbreiten kann. Es funktioniert nur unter Windows 95/98. Alles andere dient nur der Irreführung des Opfers.

Fix2001.exe ist etwa 12 kB groß und trägt sich nach dem Aufruf in die Registry ein:

HKEY_LOCAL_MASHINE\Software\Microsoft\Windows\CurrentVersion\Run
    Fix2001 = "FIX2001.EXE"

Es installiert sich im Windows\System Verzeichnis. Dabei läuft ein Prozess mit dem Namen 'AMORE_TE_AMO'.

Beim Neustart des Rechners registriert sich Fix2001 als Systemdienst und kann so speicherresident bleiben, ohne dass es einen Eintraf in der Taskliste gibt.
Beim ersten Aufruf wird eine Fehlermeldung angezeigt, die ebenfalls nur der Irreführung dient:

Y2K Ready !!
Your Internet Connection is already Y2K, you don't need to upgrade it.
[ OK ]

Es modifiziert das Windows API zur Laufzeit im Speicher und leitet so Internet-Funktionen wie Anwahl und Senden (von E-Mails) auf eigene Routinen um. Auf diese Weise ermittelt es Adressen, an die der Benutzer Mails schickt und versendet sich selbst an diese Adressen.

Schadensroutine:
Fix2001 enthält eine gefährliche Schadensfunktion: Werden die im Programmcode enthaltenen Textebausteine (inkl. E-Mail-Adressen) verändert (dies kann auch bei der Übertragung per E-Mail passieren), ersetzt es die Datei C:\command.com durch ein DOS-Programm gleichen Namens (137 Bytes lang), das beim nächsten Neustart den Inhalt der Festplatte löscht (nur bei IDE-Festplatten).

Updates für Ihre Antivirus-Software dürften inzwischen verfügbar sein.

Original-Info:

zurück zur Hoax-Seite | zurück zur Antivirus-Seite