Extra-Blatt

Win32/Fix2001 (alias I-Worm.Fix2001, W32/Fix)

Ein E-Mail-Wurm mit Schadensfunktion

Fix2001 ist ein 32-Bit-Windows-Programm, das als fix2001.exe per E-Mail hereinkommt. Die Betreff-Zeile (Subject) lautet 'Internet problem year 2000' und scheint von 'Administrator' zu kommen. Die Mail enthält in englisch und spanisch einen Text, der das Programm als nützliche Software ausgibt, die Jahr-2000-Probleme in der der installierten Internet-Software unter Windows 95/98 erkennen und beseitigen können soll. Es wird angegeben, man könne dieses Programm auch vom WWW-Server von Microsoft beziehen.

Zutreffend ist dabei allein, dass Fix2001 unter NT nicht richtig funktioniert, sich nicht weiterverbreiten kann. Es funktioniert nur unter Windows 95/98. Alles andere dient nur der Irreführung des Opfers.

Fix2001.exe ist etwa 12 kB groß und trägt sich nach dem Aufruf in die Registry ein:

Es installiert sich im Windows\System Verzeichnis. Dabei läuft ein Prozess mit dem Namen 'AMORE_TE_AMO'.

Beim Neustart des Rechners registriert sich Fix2001 als Systemdienst und kann so speicherresident bleiben, ohne dass es einen Eintraf in der Taskliste gibt.
Beim ersten Aufruf wird eine Fehlermeldung angezeigt, die ebenfalls nur der Irreführung dient:

Y2K Ready !!
Your Internet Connection is already Y2K, you don't need to upgrade it.
[ OK ]

Schadensroutine:
Fix2001 enthält eine gefährliche Schadensfunktion: Werden die im Programmcode enthaltenen Textebausteine (inkl. E-Mail-Adressen) verändert (dies kann auch bei der Übertragung per E-Mail passieren), ersetzt es die Datei C:\command.com durch ein DOS-Programm gleichen Namens (137 Bytes lang), das beim nächsten Neustart den Inhalt der Festplatte löscht (nur bei IDE-Festplatten).

Updates für Ihre Antivirus-Software dürften inzwischen verfügbar sein.

• Network Associates (engl.)
• Sophos Antivirus (engl.)
• AVP Virus Encyclopedia (engl.)
• Symantec (engl.)