Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Frethem.Q. Adjunto: TASKBAR.EXE
 
VSantivirus No. 749 - Año 6 - Sábado 27 de julio de 2002

W32/Frethem.Q. Adjunto: TASKBAR.EXE
http://www.vsantivirus.com/frethem-q.htm

Nombre: W32/Frethem.Q
Tipo: Gusano de Internet
Alias: Win32.Frethem.Q, W32.Frethem.Q@mm, W32/Frethem-Fam, WORM_FRETHEM.Q, I-Worm.Frethem.q, Win32/Frethem.Q, I-Worm.Frethem.Q, Win32/Frethem.Q.Worm, W32/Frethem.q@MM, W32.Frethem.Q@mm, W32/Frethem.q, WORM_FRETHEM, FRETHEM, W32/Frethem.r
Fecha: 25/jul/02
Tamaño: 49,152 bytes
Plataformas: Windows 32-bits

Esta versión del Frethem está como otras, comprimida con UPX y luego con PE-Pack.

S
e propaga en un mensaje con el adjunto TASKBAR.EXE.

El gusano permanece en memoria e intenta conectarse a diferentes scripts CGI en diferentes sitios (uno a la vez). Los siguientes sitios han sido dados de baja:

http://203.165.58.137/b.cgi?money&3341070277<&71B238BF280A>
http://200.83.184.133/b.cgi?money&3316680337<&71B238BF280>
http://61.40.64.2/b.cgi?money&3330376937<&71B238BF280A>
http://80.15.156.248/b.cgi?money&3349182977<&71B238BF280A>
http://24.100.170.224/b.cgi?money&3335528877<&71B238BF280A>
http://12.252.222.21/b.cgi?money&3304517797<&71B238BF280A>
http://133.45.168.148/b.cgi?money&3346978157<&71B238BF280A>
http://65.24.191.235/b.cgi?money&3309169697<&71B238BF280A>
http://24.58.140.157/b.cgi?money&3345555477<&71B238BF280A>
http://159.226.45.236/b.cgi?money&3301204677<&71B238BF280A>
http://24.86.36.159/b.cgi?money&3339519117<&71B238BF280A>
http://211.198.125.5/b.cgi?money&3320371197<&71B238BF280A>
http://12.249.245.170/b.cgi?money&3318027137<&71B238BF280A>
http://204.66.7.16/b.cgi?money&3301627737<&71B238BF280A>
http://66.235.9.153/b.cgi?money&3342336677<&71B238BF280A>
http://12.227.50.236/b.cgi?money&3343546777<&71B238BF280A>
http://159.226.158.174/b.cgi?money&3330535457<&71B238BF280A>
http://61.36.72.144/b.cgi?money&3314586677<&71B238BF280A>
http://65.68.178.83/b.cgi?money&3342259217<&71B238BF280A>
http://147.229.96.72/b.cgi?money&3332966177<&71B238BF280A>
http://66.176.181.151/b.cgi?money&3302454817<&71B238BF280A>
http://66.61.90.19/b.cgi?money&3347590577<&71B238BF280A>
http://24.90.19.191/b.cgi?money&3330722497<&71B238BF280A>
http://211.124.81.225/b.cgi?money&3349449757<&71B238BF280A>
http://24.90.192.57/b.cgi?money&3340430857<&71B238BF280A>
http://61.18.29.31/b.cgi?money&3335270797<&71B238BF280A>
http://128.143.58.69/b.cgi?money&3312780197<&71B238BF280A>
http://80.59.255.92/b.cgi?money&3320385217<&71B238BF280A>
http://24.147.136.61/b.cgi?money&3310355877<&71B238BF280A>
http://211.217.129.28/b.cgi?money&3302086777<&71B238BF280A>
http://137.82.172.18/b.cgi?money&3325898777<&71B238BF280A>
http://24.81.16.66/b.cgi?money&3312297137<&71B238BF280A>
http://131.104.156.200/b.cgi?money&3331118497<&71B238BF280A>
http://130.127.176.78/b.cgi?money&3346842217<&71B238BF280A>
http://68.67.227.46/b.cgi?money&3349813417<&71B238BF280A>
http://24.43.172.29/b.cgi?money&3346888897<&71B238BF280A>
http://24.30.153.113/b.cgi?money&3306628957<&71B238BF280A>
http://169.222.89.246/b.cgi?money&3345844077<&71B238BF280A>
http://210.128.119.155/b.cgi?money&3324226097<&71B238BF280A>
http://131.104.156.200/b.cgi?money&3345860697<&71B238BF280A>
http://12.249.245.170/b.cgi?money&3328539977<&71B238BF280A>

El script remoto descarga en la computadora de la víctima, un archivo conteniendo diferentes comandos que el gusano desencripta y luego procesa. Estos comandos indican la forma en que el gusano enviará los demás mensajes, especificando los destinatarios, y el Asunto, Texto y Adjuntos de los mensajes a enviar.

Para el envío, busca el servidor SMTP de la siguiente clave del registro:

Software\Microsoft\Internet Account Manager\Accounts\00000001
\SMTP Server

El gusano crea en el directorio de Windows los siguientes archivos .INI conteniendo la información usada para sus envíos, etc.:

WINHELP.INI 
PLP.INI

El gusano posee capacidad de troyano del tipo backdoor, actuando como servidor que abre un puerto al azar y queda a la espera de una conexión con el componente remoto (cliente).

Si la conexión se produce, el gusano puede recibir ordenes para actuar de acuerdo a ellas en el envío de sus nuevos mensajes infectados, en forma similar a su acción con los scripts CGI mencionados antes.

El gusano no modifica el sistema infectado para volverse a ejecutar en cada reinicio.

Se aprovecha de la vulnerabilidad "Incorrect MIME Header" que permite que el adjunto se ejecute en forma automática por solo leer el mensaje o verlo en el panel de vista previa.

Debe actualizarse la versión usada del Internet Explorer para evitar la acción de esta falla.

Solo una instancia de este gusano se ejecutará en memoria. Para ello, el virus crea y luego chequea la presencia del mutex "IEXPLORE_MUTEX_AABBCCDDEEFF" (un mutex es una especie de semáforo indicador de la presencia en memoria de un programa, para que el mismo no se vuelva a ejecutar hasta salir de él).


Herramienta para quitar el W32/Frethem de un sistema infectado

Esta herramienta de Symantec, termina todos los procesos del virus en memoria, borra todos los archivos del virus y las claves creadas en el registro.

Los usuarios de Windows Me y XP deben deshabilitar la herramienta "Restaurar sistema" antes de ejecutarlo (ver "Limpieza de virus en Windows Me y XP").

Descargue FixFreth.exe del siguiente enlace y proceda a ejecutarlo en su PC, siguiendo las especificaciones en pantalla.

Descarga directa:
http://securityresponse.symantec.com/avcenter/FixFreth.exe (174 Kb)

Más información:
http://securityresponse.symantec.com/avcenter/venc/data/w32.frethem.removal.tool.html



Reparación manual


Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Actualice su Internet Explorer según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS02-023)
http://www.vsantivirus.com/vulms02-023.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

W32/Frethem.O. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-o.htm

W32/Frethem.M/N. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-m.htm

W32/Frethem.K/L. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-k.htm

Crónica de un virus (Nueva versión del Frethem)
http://www.vsantivirus.com/15-07-02.htm

W32/Frethem.J. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-j.htm

W32/Frethem.D, E y F. Adjunto: decrypt-password.exe
http://www.vsantivirus.com/frethem-d.htm

W32/Frethem.G. Usa direcciones de temporales de Internet
http://www.vsantivirus.com/frethem-g.htm

W32/Frethem.B (Win64.B). Asunto: Re: Your password!
http://www.vsantivirus.com/freedesktop-b.htm

W32/Frethem.A (Win64.A). Simula enlace a un sitio Web
http://www.vsantivirus.com/freedesktop.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS