Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

Win32/Frethem.L

Infikovaná emailová zpráva má předmět/subjekt: Re: Your password!, v příloze jsou dva soubory: decrypt-password.exe a password.txt. V těle zprávy je pak tento text:

ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Červ Win32/Frethem.L využívá stejné bezpečnostní díry v Internet Exploreru jako o něco starší (a velice populární) červ Win32/Klez.H. V praxi to znamená, že bez příslušné záplaty pro tuto díru dojde k AUTOMATICKÉ aktivaci červa už při pouhém náhledu na infikovaný email. Zmiňovaný problém vyřeší záplata, kterou lze stáhnout na adrese:

  • www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp (nutno vybrat správnou jazykovou verzi vpravo a následně i verzi stávajícího Internet Exploreru - tu lze zjistit přímo v Internet Exploreru v menu Nápověda/O Internet Exploreru)
    a nebo ještě lépe tuto, která zalepí všechny kritické díry včetně výše uvedené:
  • www.microsoft.com/windows/ie/downloads/critical/q321232/default.asp

    Pokud dojde k aktivaci červa, usadí se v adresáři s Windows, přesněji v souboru taskbar.exe. Tento soubor pak spouští při každém startu Windows (využívá klíč HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run v registrech). Kromě toho může vypustit soubor setup.exe do adresáře WINDOWS\Start Menu\Programs\Startup.
    Červ Win32/Frethem.L získává požehnaně emailových adres budoucích "obětí" útoku, jelikož je hledá v souborech s příponou .dbx, .wab, .mbx, .eml, .mdb. V těle červa se nachází tento text: thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA! nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!.

    Zpět