VSantivirus No. 736 - Año 6 - Sábado 13 de julio de 2002
W32/Frethem.K/L. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-k.htm
Nombre: W32/Frethem.K,
W32/Frethem.L
Tipo: Gusano de Internet
Alias: W32.Frethem.K@mm, W32/Frethem-Fam,
WORM_FRETHEM.K, I-Worm.Frethem.k, I-Worm.Frethem.l
Fecha: 15/jul/02
Tamaño: 48,640 bytes, 31bytes
Plataformas: Windows 32-bits
Se trata de una variante de W32/Frethem.B, que también utiliza sus propias rutinas SMTP para enviarse a si mismo a direcciones de correo seleccionadas de la libreta de Windows (Windows Address Book, .WAB) y extraídas de archivos con extensiones
.DBX, .WAB, .MBX, .EML, y .MDB (correspondientes a diferentes almacenes de mensajes de Outlook, mensajes descargados y libretas de direcciones).
Las principales diferencias son el tamaño del archivo
ejecutable. Además de las características conocidas, agrega
la posibilidad de enviarse desde las máquinas infectadas con
cualquier dirección de las allí recolectadas como remitente.
Esto genera la misma confusión provocada por el Klez,
haciendo pasar por infectados usuarios que no lo están (ver
"Klez: la historia de los mensajes que usted no mandó"
(http://www.vsantivirus.com/klez-spam.htm).
No todos los antivirus que si detectaban las versiones
anteriores lo reconocen antes de ser actualizados. Ver "Crónica de un virus (Nueva versión del Frethem)"
http://www.vsantivirus.com/15-07-02.htm.
El mensaje recibido tiene estas características:
Asunto:
Re: Your password!
Texto:
ATTENTION!
You can access
very important
information by
this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
Datos adjuntos:
decrypt-password.exe (48,640 bytes)
password.txt (31 bytes)
Cuando el gusano se ejecuta, se producen las siguientes acciones:
El virus se copia a si mismo al archivo C:\Windows\taskbar.exe
'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto
C:\WINDOWS en Windows 9x/ME y C:\WINNT en Windows NT/2000/XP).
Crea la siguiente entrada en el registro para ejecutarse automáticamente en próximos reinicios del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Task Bar = C:\Windows\taskbar.exe
El gusano obtiene la configuración del servidor SMTP, dirección electrónica y nombre del servidor SMTP para hacer sus envíos de las siguientes claves del registro:
HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001
SMTP Server
SMTP Email Address
SMTP Display Name
Luego busca direcciones a las que enviarse de la libreta de direcciones y de bases de mensajes presentes en la máquina infectada, examinando archivos con extensiones
.dbx, .wab, .mbx, .eml, y .mdb.
El mensaje enviado es igual al descripto al principio, con dos adjuntos como ya vimos.
El primer adjunto, ‘Decrypt-password.exe’ es una copia del gusano, un archivo en formato PE, comprimido dos veces, una con la utilidad UPX y otra con PE-Pack y tiene un tamaño de
46 Kb aproximadamente. El segundo adjunto, ‘Password.txt’, es un archivo de solo
93 bytes, totalmente inofensivo, que solo contiene el
siguiente texto:
Your password is W8dqwq8q918213
El gusano se aprovecha de la vulnerabilidad "Incorrect MIME Header" que permite que el adjunto se ejecute en forma automática por solo leer el mensaje o verlo en el panel de vista previa.
Debe actualizarse la versión usada del Internet Explorer para evitar la acción de esta falla.
Solo una instancia de este gusano se ejecutará en memoria. Para ello, el virus crea y luego chequea la presencia del mutex
"IEXPLORE_MUTEX_AABBCCDDEEFF" (un mutex es una especie de semáforo indicador de la presencia en memoria de un programa, para que el mismo no se vuelva a ejecutar hasta salir de él).
Después de 'dormir' por varias horas, el gusano se copia a si mismo como
SETUP.EXE para ejecutarse en cada reinicio de Windows (no olvidemos que también utiliza el método de cambiar el registro como vimos antes):
C:\Windows\All Users\Start Menu\Programs\Startup\Setup.exe
Note que este archivo es creado en el directorio de inicio global de aquellas computadoras con Windows en idioma inglés. Esto también minimiza la acción en sistemas en otros idiomas, incluido español.
En su código, posee las siguientes direcciones IP, supuestamente utilizadas por el gusano en algún momento para conectarse a la mismas a través del puerto 80 (HTTP):
http://12.224.160.208/b.cgi
http://12.225.239.153/b.cgi
http://12.252.211.170/b.cgi
http://128.173.231.167/b.cgi
http://129.120.117.218/b.cgi
http://140.158.208.167/b.cgi
http://143.111.86.30/b.cgi
http://147.26.215.144/b.cgi
http://170.11.31.35/b.cgi
http://207.171.103.126/b.cgi
http://209.192.135.22/b.cgi
http://213.190.55.222/b.cgi
http://24.138.42.33/b.cgi
http://24.153.41.186/b.cgi
http://24.157.108.78/b.cgi
http://24.159.28.120/b.cgi
http://24.24.128.16/b.cgi
http://24.242.106.163/b.cgi
http://24.91.146.67/b.cgi
http://24.91.187.71/b.cgi
http://4.47.227.27/b.cgi
http://63.231.167.66/b.cgi
http://63.71.246.234/b.cgi
http://64.211.174.43/b.cgi
http://65.25.12.45/b.cgi
http://66.31.193.42/b.cgi
http://66.31.93.30/b.cgi
http://66.68.22.102/b.cgi
http://68.35.125.130/b.cgi
http://68.42.253.163/b.cgi
http://68.57.88.25/b.cgi
También incluye el siguiente texto, no mostrado al usuario:
thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!
Herramienta para quitar el W32/Frethem de un sistema
infectado
Esta herramienta de Symantec, termina todos los procesos del virus en memoria, borra todos los archivos del virus y las claves creadas en el registro.
Los usuarios de Windows Me y XP deben deshabilitar la herramienta "Restaurar sistema"
antes de ejecutarlo (ver "Limpieza de virus en Windows Me y
XP").
Descargue FixFreth.exe del siguiente enlace y proceda a ejecutarlo en su PC, siguiendo las especificaciones en pantalla.
Descarga directa:
http://securityresponse.symantec.com/avcenter/FixFreth.exe
(174 Kb)
Más información:
http://securityresponse.symantec.com/avcenter/venc/data/w32.frethem.removal.tool.html
Reparación manual
Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:
1. Detenga el proceso del virus en memoria:
a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
2. En ambos casos, en la lista de tareas, señale la siguiente:
SETUP o SETUP.EXE
3. Seleccione el botón de finalizar tarea.
En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Task Bar
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
9. Actualice sus antivirus y realice un escaneo de sus discos, borrando los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Relacionados:
Crónica de un virus (Nueva versión del Frethem)
http://www.vsantivirus.com/15-07-02.htm
W32/Frethem.J. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-j.htm
W32/Frethem.D, E y F. Adjunto: decrypt-password.exe
http://www.vsantivirus.com/frethem-d.htm
W32/Frethem.G. Usa direcciones de temporales de Internet
http://www.vsantivirus.com/frethem-g.htm
W32/Frethem.B (Win64.B). Asunto: Re: Your password!
http://www.vsantivirus.com/freedesktop-b.htm
W32/Frethem.A (Win64.A). Simula enlace a un sitio Web
http://www.vsantivirus.com/freedesktop.htm
Modificaciones:
15/jul/02 - Herramienta para quitar el Frethem de Panda
16/jul/02 - Ampliación de la descripción
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|