概述
病毒別名:W32.Frethem.L@mm【NAV】, I-Worm.Frethem.l【AVP】, W32/Frethem.l@MM【McAfee】, WORM_FRETHEM.K【Trend】, Win32.Frethem.K【CA】, W32/Frethem.K【Panda】處理時間:2002-07-15
威脅級別:★★
中文名稱:密碼
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為:
該病毒會利用自己的SMTP引擎向Windows地址簿及.dbx .wab,.mbx,.eml,.mdb檔案中的郵件地址傳送大量郵件1.病毒運行後檢察當前鍵盤是否為Russian或Uzbek 鍵盤,如果是則退出不感染。否則複製自身為%SystemRoot%\taskbar.exe,複製自身到C:\Windows\All Users\Start Menu\Programs\Startup\Setup.exe,這樣Windows每次啟動時,病毒會自動運行。
2.病毒在註冊表的主鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
中添加如下鍵值:
"Task Bar"="%SystemRoot%\taskbar.exe"
以便該病毒在每次重啟 Windows 時運行.
3.病毒會從如下註冊表中獲取用戶的SMTP伺服器、郵件地址及SMTP伺服器名:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001\SMTP Server
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001\SMTP Email Address
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001\SMTP Display Name
4.隨後病毒將從Windows地址簿及.dbx,.wab,.mbx,.eml,.mdb檔案中獲取郵件地址,並向這些地址傳送郵件。郵件格式如下:
主題:
Re: Your password!
正文:
ATTENTION!
You can access
very important
information by
this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
附屬檔案:Decrypt-password.exe及Password.txt
附屬檔案檔案Decrypt-password.exe就是是蠕蟲病毒檔案,經過了UPX及PE-Pack兩層加殼,本身用VC++編寫,大小為48K左右。而Password.txt是一個大小約93位元組的文本檔案。
由於該病毒利用了IFRAME及MIME漏洞,因此當用戶在閱讀或預覽郵件的時候會自動執行附屬檔案中病毒,感染用戶機器。
請及時打好這兩個漏洞的補丁。補丁可在該地址下載:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
5.病毒還會創建互斥體:"IEXPLORE_MUTEX_AABBCCDDEEFF",保證病毒在記憶體中只有一份實例運行。
6.該病毒還帶有後門程式,在病毒體內含有大量類似http://68.35.125.130/b.cgi的URL地址,病毒會從這些地址中隨機選擇一URL並從此URL下載並執行程式。這樣後門程式就可以完成一些其它的功能。
