!!! V ČR se masově šíří nový červ Win32/Frethem.L !!!

V ČR se začal masově šířit nový červ Win32/Frethem.L a podle MessageLabs to zatím vypadá pouze na lokální záležitost. Infikovaná emailová zpráva má předmět/subjekt: Re: Your password!, v příloze jsou dva soubory: decrypt-password.exe a password.txt. V těle zprávy je pak tento text: 

ATTENTION!

You can access
very important
information by
this password

DO 

NOT SAVE
password to disk
use your mind

now press
cancel

Červ Win32/Frethem využívá stejné bezpečnostní díry v Internet Exploreru jako o něco starší (a velice populární) červ Win32/Klez.H. V praxi to znamená, že bez příslušné záplaty pro tuto díru dojde k AUTOMATICKÉ aktivaci červa už při pouhém náhledu na infikovaný email. Zmiňovaný problém vyřeší záplata, kterou lze stáhnout na adrese:

  • www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp (nutno vybrat správnou jazykovou verzi vpravo a následně i verzi stávajícího Internet Exploreru - tu lze zjistit přímo v Internet Exploreru v menu Nápověda/O Internet Exploreru)
    a nebo ještě lépe tuto, která zalepí všechny kritické díry včetně výše uvedené:
  • www.microsoft.com/windows/ie/downloads/critical/q321232/default.asp

    Pokud dojde k aktivaci červa, usadí se v adresáři s Windows, přesněji v souboru taskbar.exe. Tento soubor pak spouští při každém startu Windows (využívá klíč HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun v registrech). Kromě toho může vypustit soubor setup.exe do adresáře WINDOWSStart MenuProgramsStartup.
    Červ Win32/Frethem získává požehnaně emailových adres budoucích "obětí" útoku, jelikož je hledá v souborech s příponou .dbx, .wab, .mbx, .eml, .mdb. V těle červa se nachází tento text: thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA! nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!.