Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-885

[Virus/FRETHEM] E-Mail-Wurm mit dem Subject "Re: your password!" verbreitet sich
(2002-07-15 20:47:35.197621+00)

Quelle: http://trendlabs.trendmicro.de/security_info/n_enz.php?id=WORM_FRETHEM.K

Ein Wurm verbreitet sich per Mail mit dem Subject "Re: Your password!" über das Attachment "DECRYPT-PASSWORD.EXE". Auf nicht gepachten Systemen mit dem IE 5.01/5.5 kann dieses Attachment bereits bei der Voransicht ausgeführt werden.

Betroffene Systeme

Einfallstor
E-Mail-Nachricht

Auswirkung
Der Virus nimmt folgende Systemveränderungen vor:

Der Wurm beinhaltet abgesehen vom Versenden scheinbar keine Schadfunktion.

Typ der Verwundbarkeit
Virus (Email-Wurm)

Gefahrenpotential
niedrig bis mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der E-Mail-Wurm "FRETHEM" verbreitet sich derzeit über eine Nachricht mit der Betreffzeile "Re: Your password!" und den angehängten Dateien

Der Nachrichtentext lautet (derzeit):

Es ist jedoch damit zu rechnen, daß Mutationen dieses Wurms andere Betreffzeilen und Attachment-Namen aufweisen wird.

Der Wurm nutzt eine seit langer Zeit bekannte Schwachstelle im Internet Explorer 5.01/5.5 aus, wodurch bereits bei der Voransicht der Nachricht mittels Outlook/Outlook Express das Attachment ausgeführt werden kann. Über diese Schwachstelle wurde bereits in der RUS-CERT-Meldung #309 berichtet. Auf Systemen mit dem (dringend angeratenen) SP2 für den Internet Explorer 5.01/5.5 exisitert diese Schwachstelle nicht mehr, d.h. der Virus kann nur durch Öffnen der "DECRYPT-PASSWORD.EXE" ausgeführt werden.

Feststellen eines Virenbefalls

Gegenmaßnahmen
Aktuelle Anti-Virenprogramme erkennen und entfernen diesen Virus. Es ist darauf zu achten, daß die Virendefinition nicht älter als vom 15.07.2002 ist.

Zur manuellen Entfernung des Wurms beenden Sie den Prozess taskbar.exe und entfernen danach dieses Programm. Der Registrierungswert "Task Bar=C:\Windows\Taskbar.exe" muß aus dem Registrierungsschlüssel "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" mittels des Registrierungseditors (regedit) entfernt werden.

Bekannte Aliases

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=885