Prim Hírek

Tárgy: (Subject) Re: Your password!

Levélszöveg: (Body)

ATTENTION!

You can access very important information by this password

DO NOT SAVE

password to disk use your mindnow press cancel

Csatolt állomány: (Attachment) decrypt-password.exe, password.txt

A féreg a lefuttatásához egy biztonsági rést használ ki (IFRAME, hasonló ahhoz, amit a Nimda féreg is használt). Így a féreg már akkor aktiválódni tud, ha csak olvassuk vagy a preview ablakban megjelenítjük a fertőzött üzenetet (ehhez hasonló volt a KAK.worm, ahol szintén a fertőzött melléklet megnyitása nélkül tudott aktiválódni a féreg). Ekkor telepíti magát a rendszerre, lefuttatja a terjedéséhez szükséges rutinját és a büntető rutint. A féreg telepíti magát a WINDOWS Startup könyvtárába "setup.exe" néven: \Start Menu\Programs\Startup\setup.exe

Terjedés:

A terjedési részében a féreg összegyűjti az összes levelezési címet az Outlook könyvtárakból és a Windows címjegyzékből (Windows Address Book) és elküldi magát minden egyes címre az alapértelmezett SMTP szerver segítségével.

Büntető rutin: A féreg parancsokat küldözget különböző HTTP oldalakra. Az oldalak címeit a féreg a belsejében tárolt listából veszi.

Az F-Secure és Kaspersky Anti-Virus programok a 2002. július 15-i délutáni adatállományokkal már képesek detektálni. A Piksys a http://www.piksys.hu/vinfo/vinfo_frethem_i.htm címen közli, hogy mi a teendő akkor, ha megkaptuk a vírust. A Symantec a bhttp://securityresponse.symantec.com/avcenter/venc/data/w32.frethem.k@mm.html címen közöl bővebb információt.