Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Frethem.O. Asunto: Re: Your password!
 
VSantivirus No. 742 - Año 6 - Viernes 19 de julio de 2002

W32/Frethem.O. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-o.htm

Nombre: W32/Frethem.O

Tipo: Gusano de Internet
Alias: Win32.Frethem.O, W32.Frethem.O@mm, W32/Frethem-Fam, WORM_FRETHEM.O, I-Worm.Frethem.o, Win32/Frethem.O, I-Worm.Frethem.O, Win32/Frethem.O.Worm, W32/Frethem.o@MM, W32.Frethem.O@mm
Fecha: 16/jul/02
Tamaño: 48,640 bytes, 93bytes
Plataformas: Windows 32-bits

Si la fecha está entre el 12 y el 16 de julio inclusive, esta variante del gusano intenta enviarse a si mismo a direcciones de correo seleccionadas de la libreta de Windows (Windows Address Book, .WAB) y extraídas de las carpetas de mensajes del Outlook Express.

Para el envío, busca el servidor SMTP de la siguiente clave del registro:

Software\Microsoft\Internet Account Manager\Accounts\00000001
\SMTP Server

Cómo las últimas versiones, esta posee la posibilidad de enviarse desde las máquinas infectadas con cualquier dirección de las allí recolectadas como remitente. Esto genera la misma confusión provocada por el Klez, haciendo pasar por infectados usuarios que no lo están (ver "Klez: la historia de los mensajes que usted no mandó" (http://www.vsantivirus.com/klez-spam.htm).

No todos los antivirus que si detectaban las versiones anteriores lo reconocen antes de ser actualizados. Ver "Crónica de un virus (Nueva versión del Frethem)" http://www.vsantivirus.com/15-07-02.htm.

El mensaje recibido tiene estas características:

Asunto:
Re: Your password!

Texto:

ATTENTION! 

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Datos adjuntos:

decrypt-password.exe (48,640 bytes)
password.txt (93 bytes)


Herramienta para quitar el W32/Frethem de un sistema infectado

Esta herramienta de Symantec, termina todos los procesos del virus en memoria, borra todos los archivos del virus y las claves creadas en el registro.

Los usuarios de Windows Me y XP deben deshabilitar la herramienta "Restaurar sistema" antes de ejecutarlo (ver "Limpieza de virus en Windows Me y XP").

Descargue FixFreth.exe del siguiente enlace y proceda a ejecutarlo en su PC, siguiendo las especificaciones en pantalla.

Descarga directa:
http://securityresponse.symantec.com/avcenter/FixFreth.exe (174 Kb)

Más información:
http://securityresponse.symantec.com/avcenter/venc/data/w32.frethem.removal.tool.html


Reparación manual


Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la siguiente:

SETUP o SETUP.EXE

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Task Bar

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Actualice sus antivirus y realice un escaneo de sus discos, borrando los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

W32/Frethem.M/N. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-m.htm

W32/Frethem.K/L. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-k.htm

Crónica de un virus (Nueva versión del Frethem)
http://www.vsantivirus.com/15-07-02.htm

W32/Frethem.J. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-j.htm

W32/Frethem.D, E y F. Adjunto: decrypt-password.exe
http://www.vsantivirus.com/frethem-d.htm

W32/Frethem.G. Usa direcciones de temporales de Internet
http://www.vsantivirus.com/frethem-g.htm

W32/Frethem.B (Win64.B). Asunto: Re: Your password!
http://www.vsantivirus.com/freedesktop-b.htm

W32/Frethem.A (Win64.A). Simula enlace a un sitio Web
http://www.vsantivirus.com/freedesktop.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS