82364

Vorsicht vor Frethem-Wurm

16.07.2002 | 12:09 Uhr |

Vorsicht ist geboten vor einer neuen Variante der Frethem-Wurm-Serie. Der so genannte Frethem.K kann sich auch dann aktivieren, wenn die angefügte EXE-Datei nicht ausgeführt wird.

Vorsicht ist geboten vor einer neuen Variante der Frethem-Wurm-Serie. Der so genannte Frethem.K kann sich auch dann aktivieren, wenn die angefügte EXE-Datei nicht ausgeführt wird. Hierzu nutzt die Malware eine altbekannte Sicherheitslücke im Internet Explorer 5.01 und 5.5. Für Abhilfe sorgtdieser Patchvon Microsoft.

Die Mail enthält folgenden Text:

Subject: Re: Your password!

Message Body: You can access very important information by this password

DO NOT SAVE password to disk use your mind

now press cancel

Attachment: DECRYPT-PASSWORD.EXE

PASSWORD.TXT

In dieser Txt-Datei befindet sich folgender Text:

Your password is W8dqwq8q918213

Wie Trend Micro berichtet, platziert der aktivierte Wurm eine Datei "TASKBAR.EXE" im Windows-Ordner und trägt sich folgendermaßen in die Registry ein:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Task Bar = C:\Windows\TASKBAR.EXE

Der Wurm nutzt eine eigene SMTP-Engine, um sich zu verbreiten. Zu diesem Zweck extrahiert er SMTP-Server-Informationen des infizierten Systems aus:

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\0000001

Ist dieser Eintrag leer, oder nicht existent, kann sich der Wurm nicht verbreiten. Mail-Adressen entnimmt der Wurm dem Windows-Adressbuch und .DBX-Dateien.

Außer der Versendung von Mails richtet der Wurm keine Schäden im System an, allerdings nimmt Frethem.K Kontakt zu einer Vielzahl von Internet-Seiten auf, wahrscheinlich um Gewinn aus dem so erzeugten Traffic zu erzielen.

Sowohl Trend Micro als auch andere Antivirensoftware-Hersteller bieten mittlerweile aktualisierte Signaturen an, die den Wurm erkennen und entfernen sollen. Außerdem wird Anwendern dringend empfohlen, denPatch für IE 5.01 und 5.5einzuspielen, um diese Lücke zu schließen.

Neuer Wurm verbreitet sich im Kazaa-Netzwerk (PC-WELT Online, 08.07.2002)

Code Red - eine Bilanz des Schreckens (PC-WELT Online, 13.06.2002)

0 Kommentare zu diesem Artikel
82364