╚erv Win32/Frethem.L
╧alÜie nßzvy: W32.Frethem.K
Je to Φerv, Üφriaci sa ako s·bor v prφlohe sprßv elektronickej poÜty. Napßda poΦφtaΦe s operaΦn²m systΘmom Windows95/98/NT/2000/XP/ME. Sprßva, v prφlohe ktorej sa Φerv nachßdza, mß predmet Re: Your password!, v prφlohe sa nachßdzaj· s·bory decrypt-password.exe a password.txt. V tele sprßvy sa nachßdza text:
ATTENTION!
You can access
very important
information by
this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
Za t²mto textom sa eÜte v zßtvorkßch nachßdza meno u₧φvate╛a napadnutΘho poΦφtaΦa.
╚erv je obsiahnut² v s·bore decrypt-password.exe, ktor² mß dσ₧ku 48640 bajtov. Tento s·bor je vÜak vn·torne komprimovan² pakovaΦom UPX a aby to nebolo mßlo eÜte dodatoΦne aj PE Pack-om. Po rozbalenφ je tak jeho v²slednß dσ₧ka viac ako 800 Kb.
╚erv Win32/Frethem.L sa pok·Üa vyu₧i¥ znßmu chybu prehliadaΦa Internet Explorer "Incorrect MIME Header", popis ktorej sa nachßdza na adrese www.microsoft.com/technet/security/bulletin/MS01-020.asp. Tßto chyba, pokia╛ na cie╛ovom poΦφtaΦi eÜte nie je nainÜtalovanß jej oprava, umo₧nuje aktivßciu Φerva u₧ len zobrazenφm nßh╛adu sprßvy, v prφlohe ktorej sa Φerv nachßdza. Nako╛ko t·to chybu vyu₧φva viacero Φervov a tr≤jskych ko≥ov, je potrebnΘ, aby ste si nainÜtalovali jej opravu. Tß sa nachßdza na adrese www.microsoft.com/windows/ie/download/critical/Q290108/default.asp. Tßto oprava je potrebnß, pokia╛ pou₧φvate Internet Explorer verzii 5.01 alebo 5.5.
Po spustenφ Φerv pomocou registra systΘmu zis¥uje, ak² je predvolen² SMTP server, nastavenß adresa elektronickej poÜty a meno SMTP servra. ╧alej sa Φerv nakopφruje do adresßra, v ktorom je nainÜtalovan² operaΦn² systΘm Windows pod menom taskbar.exe. Svoju aktivßciu po reÜtarte systΘmu zabezpeΦφ vytvorenφm polo₧ky s nßzvom TaskBar v k╛·Φi HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run systΘmovΘho registra.
╚erv h╛adß adresy elektronickej poÜty pre svoje Üφrenie v s·boroch s prφponami .dbx, .wab, .mbx, .eml a .mdb na napadnutom poΦφtaΦi. Na takto zφskanΘ adresy rozposiela svoje k≤pie.
╚erv sa tie₧ m⌠₧e v adresßri obsahuj·com inÜtalßciu operaΦnΘho systΘmu Windows skopφrova¥ pod menom setup.exe do podadresßra Start Menu\Programs\Startup, Φo tie₧ zabezpeΦφ jeho reaktivßciu pri ka₧dom reÜtarte systΘmu.
V tele Φerva sa nachßdza anglick² text s preklepom:
thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA! nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!
╚erv vytvßra na disku v adresßri, v ktorom je inÜtalovan² operaΦn² systΘm Windows, s·bor winstat.ini.
Antivφrusov² systΘm NOD32 detekuje Win32/Frethem.L od verzie 1.284.