I-Worm.Frethem.k/l

Estás en Inicio: Soporte Técnico: Alertas de Virus: I-Worm.Frethem.k/l

I-Worm.Frethem.k/l« Volver al listado de Virus

Alias:
W32.Frethem.K@mm, W32/Frethem-Fam, WORM_FRETHEM.K, I-Worm.Frethem.k, I-Worm.Frethem.l, W32/Frethem.K, W32/Frethem.L

Variantes:
Frethem.Familia

Fecha de Descubrimiento:
15/07/2002

Tipo:
Gusano de internet

Gravedad:
Media

Información:
Nueva variante del W32/Frethem, capaz de ejecutarse automáticamente aprovechando una vulnerabilidad en el Internet Explorer, y de gran difusión inicial.

La infección:
El mensaje tiene las siguentes características:

-     Asunto: RE: Your password.
-     Texto:
ATTENTION!
You can access
very important
information by
this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
-     Los ficheros adjuntos que llevara serán:
decrypt-password.exe
password.txt

Ejecución:
El virus crea una copia de si mismo en el directorio del sistema operativo (c:\Windows,c:\Winnt) con el nombre taskbar.exe.

Modificará el registro del sistema para ejecutarse con cada inicio del equipo:

- HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run
- Task Bar = %Windows%\TASKBAR.EXE

Luego comienza su rutina de propagación, buscando en el registro del sistema información de la cuenta de correo electrónico del usuario, la cual es retribuida por el gusano desde la siguiente entrada:

- HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001

Las direcciones de destino las toma de la libreta de direcciones de Windows, y de los archivos .dbx, .mbx, .eml y .mdb que encuentre en el sistema infectado, enviandoles un mensaje igual al infectado que hemos recibido.

Al concluir su reproducción masiva por correo electrónico, el gusano genera una nueva copia de si mismo, con el nombre SETUP.EXE, en el siguiente directorio:

- C:\Windows\All Users\Start Menu\Programs\Startup

O equivalentes rutas en otras versiones del sistema operativo.

El gusano además contiene varias direcciones de sitios de internet a los que intentará conectarse para enviar información. También se puede encontrar en su código el siguiente texto, el cual nunca es mostrado al usuario:

- thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
- nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppYReparación:

Lo primero que se debe hacer es actualizarse la versión del Internet Explorer. Descargue la versión de Internet Explorer 6 desde aquí.

Comprobar que tiene el antivirus Actualizado, sino lo tiene hagalo antes que nada. Proceda a la eliminación del virus mediante el escaner de Kaspersky Antivirus. Si el antivirus no le puede eliminar completamente el virus aqui a continuación tiene las instrucciones para hacerlo manualmente. Pero en principio no deberia haber problemas con el escaner si tiene el antivirus actualizado.

Reparación manual:
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Oprima las teclas CTRL+ALT+DEL (en Windows 9x y Me) o CTRL+SHIFT+ESC (en Windows NT/2000 y XP).

2. Finalice la tarea SETUP o SETUP.EXE, marcandola con el mouse y oprimiendo el botón "Finalizar Tarea".

3. Utilizando el Editor del Registro de Windows (Menu Inicio/Ejecutar/REGEDIT.exe), elimine la entrada TaskBar, en:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

4. Reinicie su equipo y ejecute un antivirus actualizado para eliminar cualquier otro rastro del gusano.