W32.Frethem.E@mm – még újabb variáns

A W32.Frethem.E@mm a W32.Frethem.B@mm még újabb változata (a héten már napvilágot látott egy variáns, ezen verziója azonban még ehhez képest is frissebb).

A fertőzött e-mail tulajdonságai

Tárgy: Re: Your password!
Csatolmány: decrypt-password.exe, mérete: 35.840 byte és Password.txt, mérete: 93 byte
Tartalom: ATTENTION!
You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

A féreg paraméterei

Felfedezési ideje: 2002. június 11.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Az alábbi események következnek be aktivizálódása esetén

– a lent látható ablakot nyitja meg
– létrehozza a következő bejegyzéseket:
HKEY_CURRENT_USER/Software/Microsoft/Internet Account Manager/Accounts/00000001/SMTP Server
HKEY_CURRENT_USER/SoftwareMicrosoft/Internet Account Manager/Accounts/00000001/SMTP Email Address
HKEY_CURRENT_USER/Software/Microsoft/Internet Account Manager/Accounts/00000001/SMTP Display Name
– a A Windows Address Bookjából és DBX kiterjesztésű file-okból megszerzett e-mail címekre továbbítja magát, beépített SMTP-motorja révén
– létrehoz egy IEXPLORE_MUTEX_AABBCCDDEEFF mutexet a memóriában, ami meggátolja, hogy többször is lefusson a féreg
– pár órányi működés után bemásolja magát a C:/Windows/All Users/Start Menu/Programs/Startup könyvtárba Setup.exe néven, így minden egyes rendszerindításkor lefut

A vírus érkezésekor egy olyan MIME-hibát igyekszik kihasználni, melynek révén már a hordozó e-mail olvasásakor képes fertőzni! A kapcsolódó linkek egyikére kattintva letölthető az ezen biztonsági lyukat elhárító javítás.