W32/Fix2001

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

W32/Fix2001. El virus del 2000

Sábado 11 de setiembre de 1999 (modificado lunes 27 de setiembre de 1999).

Nombre: W32/Fix2001

Se trata de un nuevo virus del tipo de los gusanos (worms o i-worms, como actualmente se les suele llamar, puesto que se transmite a si mismo a través del correo electrónico). Normalmente llega en un e-mail, anunciándose (en español e inglés), como una "reparación para el problema del Y2K (el problema del año 2000) en Internet" (No lo confunda con el hoax "Y2K - Windows will Fail Hoax").

Si ejecuta el archivo adjunto a dicho mensaje, el virus se copia en la carpeta \Windows\System, y modifica el registro.

Entonces, muestra en pantalla el mensaje: "Su Conexión a Internet ya es Y2K, usted no necesita actualizarla."

Después de reiniciar su PC, todo el correo enviado por usted, será seguido por otro mensaje con este virus como en un archivo adjunto (algo parecido al "Happy99"). El e-mail tiene en "Asunto:" lo siguiente: "Internet problem year 2000" (El problema de Internet con el año 2000), firmado por un supuesto "Administrador" y se presenta en español e inglés.

Texto en español:

Estimado Cliente:

Rogamos actualizar y/o verificar su Sistema Operativo para el correcto funcionamiento de Internet a partir del Año 2000. Si Ud. es usuario de Windows 95 / 98 puede hacerlo mediante el Software provisto por Microsoft (C) llamado -Fix2001- que se encuentra adjunto en este E-Mail o bien puede ser descargado del sitio WEB de Microsoft (C) HTTP://WWW.MICROSOFT.COM

Si Ud. es usuario de otros Sistemas Operativos, por favor, no deje de consultar con sus respectivos soportes tecnicos.

Muchas Gracias.
Administrador.

Texto en inglés:

Internet Customer:

We will be glad if you verify your Operative System(s) before Year 2000 to avoid problems with your Internet Connections. If you are a Windows 95 / 98 user, you can check your system using the Fix2001 application that is attached to this E-Mail or downloading it from Microsoft (C) WEB Site: HTTP://WWW.MICROSOFT.COM

If you are using another Operative System, please don't wait until Year 2000, ask your OS Technical Support.

Thanks.
Administrator.

Datos técnicos:

Este gusano, contiene estas cadenas (strings), usadas para generar y enviar mensajes con el archivo "fix2001.exe" adjunto:

RCPT TO:<getmodulehandle
@elrancho.com>
@hotmail.com>
@ciudad.com.ar>

Fix2001
THE REAL KEY TO LIVE A HAPPY LIFE IS: BE A GOOD MAN.
PARA CONSEGUIR LA VERDADERA FELICIDAD, SE UN BUEN TIPO.

El archivo "fix2001.exe", adjunto al mensaje (el propio gusano), es un ejecutable de Windows, de aproximadamente 12k. Cuando es ejecutado, el se instala a si mismo en el directorio System de Windows, con el nombre FIX2001.EXE, y se registra a si mismo en la clave "Run=" del registro para ejecutarse al reiniciar el PC.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Fix2001 = "FIX2001.EXE"

El mensaje falso desplegado por el gusano para esconder su actividad es el siguiente (Su Conexión a Internet ya es Y2K, usted no necesita actualizarla):

Your Internet Connection is already Y2K, you don't need to upgrade it.

Cuando se ejecuta el archivo FIX2001.EXE, el worm toma el control de la librería de conexión a Internet WSOCK32.DLL, interceptando las funciones "connect" y "send". Cuando una conexión se realiza, el gusano busca en los datos recibidos y enviados, obtiene direcciones de Internet de esos datos, y envía mensajes infectados (con él mismo adjunto) a esas direcciones.

Cuando la rutina de destrucción de este gusano se activa (si ciertas cadenas son recibidas en algún mensaje), es capaz de sobreescribir el archivo C:\COMMAND.COM con un trojan de DOS para que en el próximo inicio, sean borrados todos los archivos del disco duro.