Gyorsan terjed az I-Worm.Frethem vírus

forrás: Prim Online forrás: Prim Online, 2002. július 16. 16:15
A Piksys, a Symantec és a 2F 2000 cégek gyorsan terjedő, W32.Frethem.K@mm nevű vírusra hívják fel a figyelmet, mely saját SMTP tudását felhasználva küldi el magát a Microsoft Adress Bookban található címekre. Szerkesztőségünk több tagjának gépére már megpróbált betörni az új, Re: Your password subject-tel jelentkező féreg, mely W32.Frethem.J@mm, W32/Frethem.gen@MM, WORM_FRETHEM.J névváltozatokban is előfordul. A féreg már akkor aktiválódni tud, ha csak olvassuk vagy a preview ablakban megjelenítjük a fertőzött üzenetet.
Ez a féregvírus az internet segítségével terjed fertőzött email-üzenetek mellékleteként. A féreg tulajdonképpen egy 35 Kb nagyságú PE EXE fájl, melyet Visual C++-ben írtak. Programkódja ténylegesen 32 Kb hosszúságú, amely PE-Pack és UPX program segítségével lett összetömörítve. A fertőzött üzenet az alábbiak szerint néz ki:

Tárgy: (Subject) Re: Your password!

Levélszöveg: (Body)

ATTENTION!

You can access very important information by this password

DO NOT SAVE

password to disk use your mindnow press cancel

Csatolt állomány: (Attachment) decrypt-password.exe, password.txt

A féreg a lefuttatásához egy biztonsági rést használ ki (IFRAME, hasonló ahhoz, amit a Nimda féreg is használt). Így a féreg már akkor aktiválódni tud, ha csak olvassuk vagy a preview ablakban megjelenítjük a fertőzött üzenetet (ehhez hasonló volt a KAK.worm, ahol szintén a fertőzött melléklet megnyitása nélkül tudott aktiválódni a féreg). Ekkor telepíti magát a rendszerre, lefuttatja a terjedéséhez szükséges rutinját és a büntető rutint. A féreg telepíti magát a WINDOWS Startup könyvtárába "setup.exe" néven: \Start Menu\Programs\Startup\setup.exe

Terjedés:

A terjedési részében a féreg összegyűjti az összes levelezési címet az Outlook könyvtárakból és a Windows címjegyzékből (Windows Address Book) és elküldi magát minden egyes címre az alapértelmezett SMTP szerver segítségével.

Büntető rutin: A féreg parancsokat küldözget különböző HTTP oldalakra. Az oldalak címeit a féreg a belsejében tárolt listából veszi.

Az F-Secure és Kaspersky Anti-Virus programok a 2002. július 15-i délutáni adatállományokkal már képesek detektálni. A Piksys a http://www.piksys.hu/vinfo/vinfo_frethem_i.htm címen közli, hogy mi a teendő akkor, ha megkaptuk a vírust. A Symantec a bhttp://securityresponse.symantec.com/avcenter/venc/data/w32.frethem.k@mm.html címen közöl bővebb információt.