Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Frethem.J. Asunto: Re: Your password!
 
VSantivirus No. 736 - Año 6 - Sábado 13 de julio de 2002

W32/Frethem.J. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-j.htm

Nombre: W32/Frethem.J
Tipo: Gusano de Internet
Alias: W32.Frethem.J@mm, W32/Frethem-Fam, WORM_FRETHEM.J
Fecha: 12/jul/02
Tamaño: 47,616 bytes
Plataformas: Windows 32-bits

Se trata de una variante de W32/Frethem.B, que también utiliza sus propias rutinas SMTP para enviarse a si mismo a direcciones de correo seleccionadas de la libreta de Windows (Windows Address Book, .WAB) y extraídas de archivos con extensiones .DBX, .WAB, .MBX, .EML, y .MDB (correspondientes a diferentes almacenes de mensajes de Outlook, mensajes descargados y libretas de direcciones).

El mensaje recibido tiene estas características:

Asunto:
Re: Your password!

Texto:

ATTENTION! 

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Datos adjuntos:

decrypt-password.exe
password.txt

Cuando el gusano se ejecuta, se producen las siguientes acciones:

El virus se copia a si mismo al archivo C:\Windows\taskbar.exe

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME y C:\WINNT en Windows NT/2000/XP).

Crea la siguiente entrada en el registro para ejecutarse automáticamente en próximos reinicios del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Task Bar = C:\Windows\taskbar.exe

El gusano obtiene la configuración del servidor SMTP, dirección electrónica y nombre del servidor SMTP para hacer sus envíos de las siguientes claves del registro:

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001

SMTP Server
SMTP Email Address
SMTP Display Name

Luego busca direcciones a las que enviarse de la libreta de direcciones y de bases de mensajes presentes en la máquina infectada, examinando archivos con extensiones .dbx, .wab, .mbx, .eml, y .mdb.

El mensaje enviado es igual al descripto al principio, con dos adjuntos como ya vimos.

El primer adjunto, ‘Decrypt-password.exe’ es una copia del gusano, un archivo en formato PE, comprimido dos veces, una con la utilidad UPX y otra con PE-Pack y tiene un tamaño de 46 Kb aproximadamente. El segundo adjunto, ‘Password.txt’, es un archivo de solo 93 bytes, totalmente inofensivo, que solo contiene el siguiente texto:

Your password is W8dqwq8q918213

El gusano se aprovecha de la vulnerabilidad "Incorrect MIME Header" que permite que el adjunto se ejecute en forma automática por solo leer el mensaje o verlo en el panel de vista previa.

Debe actualizarse la versión usada del Internet Explorer para evitar la acción de esta falla.

Solo una instancia de este gusano se ejecutará en memoria. Para ello, el virus crea y luego chequea la presencia del mutex "IEXPLORE_MUTEX_AABBCCDDEEFF" (un mutex es una especie de semáforo indicador de la presencia en memoria de un programa, para que el mismo no se vuelva a ejecutar hasta salir de él).

Después de 'dormir' por varias horas, el gusano se copia a si mismo como SETUP.EXE para ejecutarse en cada reinicio de Windows (no olvidemos que también utiliza el método de cambiar el registro como vimos antes):

C:\Windows\All Users\Start Menu\Programs\Startup\Setup.exe

Note que este archivo es creado en el directorio de inicio global de aquellas computadoras con Windows en idioma inglés. Esto también minimiza la acción en sistemas en otros idiomas, incluido español.

En su código, posee las siguientes direcciones IP, supuestamente utilizadas por el gusano en algún momento para conectarse a la mismas a través del puerto 80 (HTTP):

http://12.224.160.208/b.cgi 
http://12.225.239.153/b.cgi 
http://12.252.211.170/b.cgi 
http://128.173.231.167/b.cgi 
http://129.120.117.218/b.cgi 
http://140.158.208.167/b.cgi 
http://143.111.86.30/b.cgi 
http://147.26.215.144/b.cgi 
http://170.11.31.35/b.cgi 
http://207.171.103.126/b.cgi 
http://209.192.135.22/b.cgi 
http://213.190.55.222/b.cgi 
http://24.138.42.33/b.cgi 
http://24.153.41.186/b.cgi 
http://24.157.108.78/b.cgi 
http://24.159.28.120/b.cgi 
http://24.24.128.16/b.cgi 
http://24.242.106.163/b.cgi 
http://24.91.146.67/b.cgi 
http://24.91.187.71/b.cgi 
http://4.47.227.27/b.cgi 
http://63.231.167.66/b.cgi 
http://63.71.246.234/b.cgi 
http://64.211.174.43/b.cgi 
http://65.25.12.45/b.cgi 
http://66.31.193.42/b.cgi 
http://66.31.93.30/b.cgi 
http://66.68.22.102/b.cgi 
http://68.35.125.130/b.cgi 
http://68.42.253.163/b.cgi 
http://68.57.88.25/b.cgi 

También incluye el siguiente texto, no mostrado al usuario:

thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!


Herramienta para quitar el W32/Frethem de un sistema infectado

Esta herramienta de Symantec, termina todos los procesos del virus en memoria, borra todos los archivos del virus y las claves creadas en el registro.

Los usuarios de Windows Me y XP deben deshabilitar la herramienta "Restaurar sistema" antes de ejecutarlo (ver "Limpieza de virus en Windows Me y XP").

Descargue FixFreth.exe del siguiente enlace y proceda a ejecutarlo en su PC, siguiendo las especificaciones en pantalla.

Descarga directa:
http://securityresponse.symantec.com/avcenter/FixFreth.exe (174 Kb)

Más información:
http://securityresponse.symantec.com/avcenter/venc/data/w32.frethem.removal.tool.html


Reparación manual


Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la siguiente:

SETUP o SETUP.EXE

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Task Bar

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Actualice sus antivirus y realice un escaneo de sus discos, borrando los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

W32/Frethem.D, E y F. Adjunto: decrypt-password.exe
http://www.vsantivirus.com/frethem-d.htm

W32/Frethem.G. Usa direcciones de temporales de Internet
http://www.vsantivirus.com/frethem-g.htm

W32/Frethem.B (Win64.B). Asunto: Re: Your password!
http://www.vsantivirus.com/freedesktop-b.htm

W32/Frethem.A (Win64.A). Simula enlace a un sitio Web
http://www.vsantivirus.com/freedesktop.htm


Modificaciones:
14/jul/02 - Ampliación de la descripción
14/jul/02 - Alias: W32/Frethem-Fam, WORM_FRETHEM.J
15/jul/02 - Herramienta para quitar el Frethem de Panda



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS