VSantivirus No. 738 - Año 6 - Lunes 15 de julio de 2002
Crónica de un virus (Nueva versión del Frethem)
http://www.vsantivirus.com/15-07-02.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Hora: 4.30 Uruguay (7.30 am UTC)
Empiezo a recibir mensajes que claramente parecen infectados por el W32/Fretehem. El asunto es
"Re: Your password!", y los adjuntos son
"decrypt-password.exe" de 48,640 bytes y
"password.txt" de 31 bytes. Y no uno, sino dos.
No le doy importancia porque es muy claro que se trata del Frethem, de modo que sin más trámites lo paso a la carpeta de muestras recibidas.
Hora: 5.10
Recién he bajado el correo nuevamente. Me sorprende encontrarme con 6 muestras más del mismo mensaje recibido a las 4.30, todos de remitentes diferentes, de modo que pruebo a revisarlo con mis antivirus. Primer intento, el Nod32 que mantengo en memoria, no me avisa. Mmmmm...
Hora: 5.15
Lo abro por medio de la red en otro PC que tengo para estos casos, aunque por prevención, luego de la copia de los mensajes infectados desconecto ese PC de la red.
Hora: 5.30
Más sorpresas...
Ni Kaspersky (AVP), ni McAfee, ni Norton, ni Sophos, que mantengo actualizados, me dicen nada.
Hora: 5.43
Mando la muestra del virus a una lista de fabricantes de Antivirus que reciben muestras. Los antivirus incluidos son:
Computer Associates (InoculateIT)
DialogueScience(Dr.Web)
Eset (NOD32)
Frisk Software (F-Prot)
F-Secure Corp.
Kaspersky Labs (AVP)
Network Associates (VirusScan)
Norman Data Defense
Panda Software
Per Systems
Sophos Plc.
Symantec (Norton)
The Hacker
Trend Micro (PCCillin)
Primeras respuestas, algunas instantáneas, y supongo automáticas:
Hora 5.45: Kaspersky (AVP)
Dear Sirs,
***
IMPORTANT: This message has been generated by Kaspersky Lab's express virus-check system. In case you have any further questions, please send them directly to the company's
technical support service at support@kaspersky.com.
Comentarios: Respuesta automática, obviamente. Sin embargo, aunque cronológicamente la ubico aquí por horario, en realidad llegó a mi buzón después de una respuesta del propio Kaspersky (ver más adelante).
Hora 5.46: Computer Associates
Dear Video Soft,
Thank you for emailing our antivirus support team.
We have successfully received the following files:
####################################################
id bytes name
1 49679 Re_ Your password!.zip
68206 Re_ Your password!.eml
31 unmimed3
48640 unmimed1
383 unmimed0
Comentarios: Nada interesante, solo una confirmación
Hora 5.47: Network Associates (VirusScan)
This is an autoreply based on a message received from you.
[...]
Comentarios: Claramente una respuesta automática. Sigue una lista de consejos, pero nada sobre la muestra. Algo de que en un plazo máximo de 48 horas... etc., etc....
Hora 5.48: Trend Micro (PCCillin)
InterScan Messaging Security Suite for SMTP notification
Comentarios: Trend Micro parece que bloqueó mi mensaje, o yo cometí un error... :(
Hora 5.48: Computer Associates (InoculateIT)
Dear Video Soft,
This is to notify you of the results of the testing carried out by the Virtue system on the files that you sent to us.
==========================================================
[...]
The analysis of the file submitted as "Re_ Your password!.eml" has been completed.
The MIME Container file has been determined to be malicious.
The file is infected by the HTML.MimeExploit virus.
Similar names (alias) reported by other AV products are listed here:
(Exploit.IFrame.FileDownload)(Exploit-MIME.gen)
[...]
The ASCII Plain Text file has been determined to be clean.
A human researcher has analysed the file and found nothing
suspicious. Researcher comment:
This file is a message part, i.e. a forwarded e-mail
attached.
[...]
The Windows Portable Executable file has been determined to be malicious.
An Antivirus researcher has analysed the file and confirmed the findings.
The file has been identified as Win32.Frethem.K worm.
Researcher comment:
Win32.Frethem.K worm.
[...]
The HTML(active content) file has been determined to be malicious.
The file is infected by the HTML.MimeExploit virus.
Similar names (alias) reported by other AV products are listed here:
(Exploit.IFrame.FileDownload)
[...]
Comentarios: Primera sorpresa. Solo 13 minutos después de enviada, recibo una descripción detallada de la muestra.
Hora 5.49: Symantec (Norton)
This message is an automatically generated reply.
[...]
Your submission has been received and is being processed.
Comentarios: Otra respuesta automática, solo una confirmación de recepción de la muestra.
Hora 5.49: Network Associates (VirusScan) (segundo mensaje)
A.V.E.R.T. Sample Analysis
AVERT Labs - Beaverton, Oregon USA
Current Scan Engine Version: 4.1.60
Current DAT Version: 4211
Analysis ID: 237588
File Name: Re_ Your password!.eml
Scan Findings: Virus detected!
Virus Name: Exploit-MIME.gen
Thank you for your submissions.
Synopsis –
The file received is infected with the Exploit-MIME.gen Virus. This threat can be identified and removed with our current scan engine version 4.1.60 and current DAT file version 4211.
[...]
Comentarios: Cuando examiné el mensaje original, la base de datos era la 4211, sin embargo no detectó ningún virus. Esta discrepancia puede ser por el hecho de que utilicé la versión del antivirus gratuita para escanear. De todos modos, es la segunda respuesta
Hora 5.55: Kaspersky Labs (AVP)
Hello,
that's new variant of Frethem worm.
It is added to next DAILY update (will be released in few minutes).
Regards, Eugene
Kaspersky Lab
http://www.kaspersky.com
http://www.viruslist.com
Comentarios: Bueno, una respuesta humana evidentemente...
y del mismo Eugene... :). Pero eso no es todo...
Hora 6.02: Primera actualización disponible, Kaspersky (AVP)
Chequeo las actualizaciones del AVP, y a las 6.02 aparece un nuevo DAILY que incluye estas variantes del virus: I-Worm.Frethem.k, I-Worm.Frethem.l. ¡Primera solución en línea de los antivirus que no identificaban esta variante, apenas un poco más de 15 minutos después del aviso!
Hora 6.57: Primer aviso de la nueva versión del virus (boletín de Kaspersky)
VirusList.com Virus Alerts & Virus News. Monday, July 15, 2002
**************************************************************
1. Danger! A New Version of The Internet-worm "Frethem'" Is Loose On The Internet!
2. How to subscribe/unsubscribe
****
1. Danger! A New Version of The Internet-worm "Frethem'" Is Loose On The Internet!
Kaspersky Labs, warns all computer users of a massive amount of
registered infections from a new modification of the Internet-worm "Frethem". In the nearest possible time a more detailed description of this malicious program and a special anti-virus database update will be made available.
Information on the Frethem family of Internet-worms can be found in the Kaspersky Virus Encyclopedia at:
http://www.viruslist.com/eng/viruslist.html?id=50644.
Comentarios: No deja de sorprenderme la celeridad en la respuesta de
Kaspersky, con boletín incluido.
Hora 7.00: Actualización de Nod32.
La actualización automática del Nod32 la tengo configurada para que lo haga cada 60 minutos, y a las 6.00 no habían reportes. A las 7.00 me informa que actualizó la base de datos. Realizo un nuevo escaneo del mensaje y ahora Nod32 me informa que hay un virus, el Frethem.L
Hora 7.08: Respuesta de Panda
Estimado cliente :
Acusamos recibo de su mail en el que nos incluye ficheros sospechosos de estar infectados por virus. Dicho envío ha sido recibido a las 10:43 del 15/07/2002. En estos momentos nos encontramos estudiándolo y en breve recibirá una respuesta.
Sin otro particular, reciba un cordial saludo
Laboratorio de Investigación de Virus
mailto:virus@pandasoftware.es
Comentarios: La diferencia horaria con España, dice que la muestra fue recibida a las 5.43 de Uruguay. La muestra fue enviada a las 4.43. El mensaje llegó a mi buzón a las 7.08.
Hora 7.12: Actualización de Sophos.
Hora 8.28: Respuesta de F-Secure
Hello,
[...]
The e-mail you sent contains a sample of Frethem worm. Our F-Secure Anti-Virus detects it with the latest updates. The description of the worm is here:
http://www.europe.f-secure.com/v-descs/frethem.shtml
Conclusiones
Supongo que en el transcurso de las horas recibiré nuevas respuestas. Por lo pronto, la primera solución efectiva de las que comenté al principio, es la de Kaspersky, la cuál no solo me respondió en poco más de 10 minutos, sino que además había una actualización disponible de su producto (un DAILY.AVC) exactamente 19 minutos después de haber enviado la muestra. Nod32 actualizó su base de datos por lo menos una hora después de haber recibido la muestra, y también detecta la nueva versión (Frethem.L).
Este es un resumen cronológico de las respuestas hasta el momento (8.30):
- 4.30 - Primeros mensajes infectados, los ignoro
- 5.10 - Recibo una cantidad de mensajes iguales
- 5.15 - Examino los mensajes recibidos
- 5.30 - Llego a la conclusión de que a pesar de tener todas
las características del Frethem, no todos los AV lo identifican.
- 5.43 - Envío la muestra a una lista de fabricantes de antivirus.
- 5.45 - Primera respuesta automática (Kaspersky (AVP))
- 5.46 - Segunda respuesta automática (Computer Associates)
- 5.47 - Tercera respuesta automática (Network Associates (VirusScan))
- 5.48 - Rechazo del mensaje de Trend Micro (PCCillin)
- 5.48 - Primer examen del virus (Computer Associates (InoculateIT))
- 5.49 - Cuarta respuesta automática (Symantec (Norton))
- 5.49 - Segundo examen del virus (Network Associates (VirusScan) (segundo mensaje)
- 5.55 - Primera respuesta "humana" del propio Kaspersky (Kaspersky Labs (AVP))
- 6.02 - Primera actualización que reconoce el virus (Kaspersky Labs (AVP)
- 6.57 - Primer aviso de la nueva versión del virus (boletín de Kaspersky)
- 7.00 - Actualización automática del Nod32 reconoce el virus como Frethem.L
- 7.08 - Respuesta de Panda
- 7.12 - Sophos actualiza su IDE con la nueva versión del Frethem
- 8.28 - Respuesta de F-Secure
Relacionados:
VSantivirus No. 738 - 15/jul/02
W32/Frethem.K/L. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-j.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|