|
|
| Nombre: | W32/Fix.worm
Alias: I-Worm.Fix2001 |
| Tipo: |
Gusano |
| Tamaño | 12 Kbytes |
| Origen: | Internet, Octubre/1999 |
| Destructivo: | SI |
| En la calle (in the wild): | SI |
| Detectado desde: | The Hacker 4.6 registro al 29/10/1999 y superiores. |
Descripción
W32/Fix es un gusano que se propaga automáticamente vía E-Mail en sistemas con Windows 95/98, el gusano no funciona con Windows NT/2000.
El gusano viaja en un mensaje que se supone es un parche para el error del año 2000, adjunto al mensaje viene el archivo "FIX2001.EXE" infectado.
Sujeto: Internet problem year 2000
De: "Admin__"
Estimado Cliente:
Rogamos actualizar y/o verificar su Sistema Operativo
para el
correcto funcionamiento de Internet a partir del A_o 2000. Si
Ud. es usuario de Windows 95 / 98 puede hacerlo mediante el
Software provisto por Microsoft (C) llamado -Fix2001- que se
encuentra adjunto en este E-Mail o bien puede ser descargado
del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM
Si Ud. es usuario de otros Sistemas Operativos, por favor, no deje
de consultar con sus respectivos soportes tecnicos.
Muchas Gracias.
Administrador.
Internet Customer:
We will be glad if you verify your Operative System(s)
before
Year 2000 to avoid problems with your Internet Connections.
If you are a Windows 95 / 98 user, you can check your system
using the Fix2001 application that is attached to this E-Mail
or downloading it from Microsoft (C) WEB Site: HTTP://WWW.MICROSOFT.COM
If you are using another Operative System, please don't wait
until Year 2000, ask your OS Technical Support.
Thanks.
Administrator"
Si el usuario ejecuta el archivo adjunto FIX2001.EXE se muestra el mensaje:
Your Internet Connection is already Y2K, you don't need to upgrade it,
en forma oculta el gusano se instala en el sistema y propaga de la siguiente forma:
Instalación
El gusano copia el archivo FIX2001.EXE al folder WINDOWS\SYSTEM y modifica el registro ("Run=") para ejecutarse en cada inicio de Windows.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Fix2001" = "FIX2001.EXE"
Propagación
Al siguiente inicio de Windows se ejecuta el archivo FIX2001.EXE que busca el archivo WSOCK32.DLL en memoria y parcha 2 de sus rutinas (Send y Connect), si el usuario envía un mensaje vía E-mail, el gusano extrae el recipiente y le envia el mensaje del supuesto parche del año 2000 con el archivo infectado FIX2001.EXE djunto.
Rutina de Activación
W32/Fix es DAÑINO, si el archivo FIX2001.EXE es alterado de alguna forma el gusano sobreescribe el archivo "C:\COMMAND.COM" con un troyano. Al siguiente inicio del sistema el troyano borrará toda la información del disco duro.
Recomendaciones para sistemas infectados
- Al ser W32/Fix.worm un gusano que trabaja bajo windows tiene que ser eliminado en modo DOS debido a que los archivos infectados están en uso por windows y no pueden ser alterados.
Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú