Asunto: Re: Your password! 

Texto: Your password is W8dqwq8q918213

Datos adjuntos:

Your password placed in password.txt             yourpassword.exe

password.txt

Cuando se ejecuta el gusano muestra esta ventana:

Note que el nombre del primer adjunto en realidad es un solo archivo, solo que entre las dos partes ("Your password placed in password.txt" y "yourpassword.exe") existen una cantidad de espacios en blanco, que pueden impedir se visualice el verdadero tipo de archivo. Solo se ve la primera parte, haciendo pensar se trata de un archivo de texto.

El segundo adjunto, "password.txt", es en realidad un archivo de texto inofensivo de solo 93 bytes aprox.

El envío masivo a otros usuarios, se realiza luego con un mensaje idéntico al recibido.

Las direcciones de envío las toma de la libreta de direcciones de Windows (WAB) y de los archivos de la base de mensajes del Outlook Express (DBF).

Obtiene la dirección electrónica y el SMTP del usuario de estas claves del registro:

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001
SMTP Server

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001
SMTP Email Address

Programado en Visual C++, el gusano tiene un tamaño de 35,328 bytes, y su código compactado con la utilidad de compresión de ejecutables UPX.

Cuando se ejecuta en la máquina infectada el adjunto, se crea el siguiente archivo (SETUP.EXE) que es una copia del propio gusano:

C:\WINDOWS\Start Menu\Programs\Startup\setup.exe 

Note que este archivo es creado en el directorio de inicio de aquellas computadoras con Windows en idioma inglés. Esto también minimiza la acción en sistemas en otros idiomas, incluido español.

Luego, procede a enviarse masivamente vía correo electrónico, como se explicó antes.

Solo una instancia de este gusano se ejecutará en memoria. Para ello, el virus crea y luego chequea la presencia del mutex "IEXPLORE_MUTEX_AABBCCDDEEFF" (un mutex es una especie de semáforo indicador de la presencia en memoria de un programa, para que el mismo no se vuelva a ejecutar hasta salir de él).

El gusano utiliza su propia rutina SMTP para enviar las copias del mensaje infectado.

Se conecta a los siguientes sitios Web, a algunos de los cuáles envía ciertos datos (probablemente con la intención de aumentar los puntos en algún marcador que ofrece dinero a cambio de clics a banners comerciales):

http://12.226.37.205/b.cgi 
http://12.249.159.107/b.cgi 
http://137.204.230.6/b.cgi 
http://24.112.73.219/b.cgi 
http://24.157.108.78/b.cgi 
http://24.190.219.22/b.cgi 
http://24.67.234.143/b.cgi 
http://24.81.193.45/b.cgi 
http://4.41.131.58/b.cgi 
http://4.47.172.132/b.cgi 
http://4.63.105.4/b.cgi 
http://64.229.226.190/b.cgi 
http://65.101.211.71/b.cgi 
http://65.32.45.34/b.cgi 
http://66.176.166.16/b.cgi 
http://66.30.52.166/b.cgi 
http://66.56.147.100/b.cgi 
http://68.100.32.96/b.cgi 
http://68.38.178.152/b.cgi

El cuerpo del gusano contiene el siguiente texto:

nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!

Eliminación manual del virus

Para eliminar el gusano de un sistema infectado, actualice sus antivirus y realice un escaneo de sus discos.

Para detener el proceso del virus en memoria, en Windows 9x y Me, pulse CTRL+ALT+SUPR.

En Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

En ambos casos, en la lista de tareas, señale la que se llame SETUP o SETUP.EXE y seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

Borre los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.


Referencias:

VSantivirus No. 693 - 31/may/02
W32/Frethem.A (Win64.A). Simula enlace a un sitio Web
http://www.vsantivirus.com/freedesktop.htm


Modificaciones
12/jun/02 - Se modifica el nombre por W32/Frethem.B


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com