SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Nueva variante de w32/Frethem
controlada desde 15/07/2002
Nombre de virus: W32/Frethem.L@MM
Alias conocidos: -
Riesgo Infección: Medio (Bajo,
Medio, Alto, Muy Alto)
Activación: Por
ejecución de fichero adjunto infectado o via exploit MIME
Propagación: Adjunto
a un mensaje de correo electrónico
Detección: desde DATS
4212
Motor necesario: desde 4.1.60
Infección actual: Media (Inicial, Media, Elevada)
w32/Frethem.L@MM explota la conocida vulnerabilidad Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability , por lo que puede infectar al sistema si no se han aplicado los parches de seguridad para Microsoft Internet Explorer, por sólo abrir el mensaje.
La ejecución del fichero adjunto provoca el envío de e-mails a todas las direcciones de correo electrónico que encuentra en ficheros con extensiones .wab, .dbx, .mbx, .eml y .mdb, utilizando un motor SMTP propio. El formato del mensaje es el siguiente:
Asunto: Re: Your
password!
Mensaje: ATTENTION!
You can access
very important
information by
this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
Adjuntos:
· Decrypt-password.exe
· Password.txt
La entrada del gusano en el ordenador modifica claves de registro de sistema y crea el fichero TASKBAR.EXE en el directorio Windows, desde donde es llamado en cada reinicio.
Asimismo, tras varias horas, intenta copiarse con el nombre SETUP.EXE en la carpeta STARTUP (carpeta Inicio de los sistemas operativos en inglés), lo cual no tiene sentido en sistemas operativos en castellano. La finalidad de esta copia es provocar la carga del gusano al reiniciar el sistema, incluso habiendo anulado previamente el fichero TASKBAR.EXE y eliminado la clave del registro del sistema.
Por lo demás, parece ser inofensivo y no causar pérdida de información, al igual que otras variantes del mismo.
Este gusano puede llegar compactado con uno o dos compresores, por lo que su tamaño puede oscilar entre 47 y 49 kb.
Para su eliminación, como utiliza los recursos compartidos para propagarse por la LAN, es preciso desconectar los equipos de la red, y tras ello ejecutar nuestra herramienta ELIFRET.EXE (en sistemas WinNT/2K/XP reiniciar luego el equipo). No conectar de nuevo las máquinas entre sí hasta haber eliminado el virus de todas y cada una de ellas, pues de lo contrario una máquina infectada podría volver a infectar toda la red.
Se controla desde DATS 4212, engine 4.1.60, disponible en nuestra web, www.satinfo.es. Pueden encontrar ELIFRET.EXE en el área ‘Utilidades Satinfo’ del mismo web.
SATINFO, VIRUSCAN SPAIN SERVICE 16 de Julio de 2002
