Új VÍRUS-t kapott be valaki az olvasók közül!
Új féregvariáns jelent meg: I-Worm.Frethem
A vírus neve és leírása a következő:
W32.Frethem.K@mm - még újabb változat Sy, 2002.07.15. 16:56
A Frethem féreg mindig képes megújulni, ez egy hónapon belül már az ötödik variáns. Igaz, lényeges különbség nincsen a két változat között, mindössze méretükben térnek el egymástül.
A fertőzött e-mail tulajdonságai:
Tárgy: Re: Your password!
Csatolmány: decrypt-password.exe, mérete: 48.640 byte és Password.txt, mérete: 93 byte
Tartalom: ATTENTION! You can access very important information by this password
DO NOT SAVE password to disk use your mind now press cancel
A féreg paraméterei:
Felfedezési ideje: 2002. július 12.
Védelem elkészítésének ideje: 2002. július 12.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktivizálódása esetén bekövetkező események
- bemásolja magát a Windows könyvtárba taskbar.exe néven és annak érdekében, hogy minden rendszerinduláskor betöltődjön a memóriába, hozzáadja a Taks Bar C:/Windows/taskbar.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
- a HKEY_CURRENT_USER/Software/Microsoft/ Internet Account Manager/Accounts/00000001/SMTP Server, a HKEY_CURRENT_USER/Software/Microsoft/ Internet Account Manager/Accounts/00000001//SMTP Email Address és a HKEY_CURRENT_USER/Software/Microsoft/ Internet Account Manager/Accounts/00000001/SMTP Display Name Registry kulcsokból kiszedi az e-mailcímekre és SMTP szerver nevekre vonatkozó információkat
- további e-mailcímeket gyűjt az Address Bookból és a .dbx, .wab, .mbx, .eml, .mdb kiterjesztésű file-okból
- az így megszerzett e-mailcímekre továbbítja magát a fent ismertetett formátumban
- IFRAME és MIME exploitokat kihasználva már előnézeti fázisban is képes fertőzni, ennek elkerülése érdekében a kapcsolódó linkeknél található Explorer biztonsági javítás linkre érdemes kattintani és a patch-et letölteni, amennyiben ezt még nem tettük meg - annak érdekében, hogy a féreg ne kerüljön többszöri betöltésre, létrehozza az ˝IEXPLORE_MUTEX_AABBCCDDEEFF˝ mutexet a memóriában
- néhány órányi ˝illegalitás˝ után bemásolja magát a C:/Windows/All Users/Start Menu/Programs/Startup könyvtárba Setup.exe néven
Szentes, 2002. 07. 16.
