Frethem.L

Červ Win32/Frethem.L

Ďalšie názvy: W32.Frethem.K

Je to červ, šíriaci sa ako súbor v prílohe správ elektronickej pošty. Napáda počítače s operačným systémom Windows95/98/NT/2000/XP/ME. Správa, v prílohe ktorej sa červ nachádza, má predmet Re: Your password!, v prílohe sa nachádzajú súbory decrypt-password.exe a password.txt. V tele správy sa nachádza text:

ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Za týmto textom sa ešte v zátvorkách nachádza meno užívateľa napadnutého počítača.

Červ je obsiahnutý v súbore decrypt-password.exe, ktorý má dĺžku 48640 bajtov. Tento súbor je však vnútorne komprimovaný pakovačom UPX a aby to nebolo málo ešte dodatočne aj PE Pack-om. Po rozbalení je tak jeho výsledná dĺžka viac ako 800 Kb.

Červ Win32/Frethem.L sa pokúša využiť známu chybu prehliadača Internet Explorer "Incorrect MIME Header", popis ktorej sa nachádza na adrese www.microsoft.com/technet/security/bulletin/MS01-020.asp. Táto chyba, pokiaľ na cieľovom počítači ešte nie je nainštalovaná jej oprava, umožnuje aktiváciu červa už len zobrazením náhľadu správy, v prílohe ktorej sa červ nachádza. Nakoľko túto chybu využíva viacero červov a trójskych koňov, je potrebné, aby ste si nainštalovali jej opravu. Tá sa nachádza na adrese www.microsoft.com/windows/ie/download/critical/Q290108/default.asp. Táto oprava je potrebná, pokiaľ používate Internet Explorer verzii 5.01 alebo 5.5.

Po spustení červ pomocou registra systému zisťuje, aký je predvolený SMTP server, nastavená adresa elektronickej pošty a meno SMTP servra. Ďalej sa červ nakopíruje do adresára, v ktorom je nainštalovaný operačný systém Windows pod menom taskbar.exe. Svoju aktiváciu po reštarte systému zabezpečí vytvorením položky s názvom TaskBar v kľúči HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run systémového registra.

Červ hľadá adresy elektronickej pošty pre svoje šírenie v súboroch s príponami .dbx, .wab, .mbx, .eml a .mdb na napadnutom počítači. Na takto získané adresy rozposiela svoje kópie.

Červ sa tiež môže v adresári obsahujúcom inštaláciu operačného systému Windows skopírovať pod menom setup.exe do podadresára Start Menu\Programs\Startup, čo tiež zabezpečí jeho reaktiváciu pri každom reštarte systému.

V tele červa sa nachádza anglický text s preklepom:

thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA! nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!

Červ vytvára na disku v adresári, v ktorom je inštalovaný operačný systém Windows, súbor winstat.ini.

Antivírusový systém NOD32 detekuje Win32/Frethem.L od verzie 1.284.