Ein Wurm verbreitet sich per Mail mit dem Subject "Re: Your password!" über das Attachment "DECRYPT-PASSWORD.EXE". Auf nicht gepachten Systemen mit dem IE 5.01/5.5 kann dieses Attachment bereits bei der Voransicht ausgeführt werden.

Betroffene Systeme

• Microsoft Windows, insbesondere falls Outlook/Outlook Express eingesetzt wird

Einfallstor
E-Mail-Nachricht

Auswirkung
Der Virus nimmt folgende Systemveränderungen vor:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Task Bar=C:\Windows\Taskbar.exe
• Die Datei %WinDir%\Taskbar.exe wird abgelegt
• Die Datei %WinDir%\Winstat.ini wird angelegt
• Scheinbar legt der Wurm nach einem derzeit nicht näher bestimmten Zeitpunkt eine Kopie unter C:\Windows\All Users\StartMenu\Programs\Startup\Setup.exe ab
• Verbindung zu "b.cgi"-Webseiten unterschiedlicher Webserver
• Versendung von Nachrichten an beliebige Mailadressen aus dem Windows Adressbuch bzw. aus Dateien mit der Endung .dbx, .wab, .mbx, .eml, und .mdb.

Typ der Verwundbarkeit
Virus (Email-Wurm)

Gefahrenpotential
niedrig bis mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der E-Mail-Wurm "FRETHEM" verbreitet sich derzeit über eine Nachricht mit der Betreffzeile "Re: Your password!" und den angehängten Dateien

• Decrypt-password.exe
• Password.txt.

ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Es ist jedoch damit zu rechnen, daß Mutationen dieses Wurms andere Betreffzeilen und Attachment-Namen aufweisen wird.

Der Wurm nutzt eine seit langer Zeit bekannte Schwachstelle im Internet Explorer 5.01/5.5 aus, wodurch bereits bei der Voransicht der Nachricht mittels Outlook/Outlook Express das Attachment ausgeführt werden kann. Über diese Schwachstelle wurde bereits in der RUS-CERT-Meldung #309 berichtet. Auf Systemen mit dem (dringend angeratenen) SP2 für den Internet Explorer 5.01/5.5 exisitert diese Schwachstelle nicht mehr, d.h. der Virus kann nur durch Öffnen der "DECRYPT-PASSWORD.EXE" ausgeführt werden.

Feststellen eines Virenbefalls

• Existenz einer Datei mit dem Namen taskbar.exe (unter %windir%)
• Prozess mit dem Namen "taskbar", überprüfen Sie dazu mittels des Taskmanagers die Prozessliste

Gegenmaßnahmen
Aktuelle Anti-Virenprogramme erkennen und entfernen diesen Virus. Es ist darauf zu achten, daß die Virendefinition nicht älter als vom 15.07.2002 ist.

Zur manuellen Entfernung des Wurms beenden Sie den Prozess taskbar.exe und entfernen danach dieses Programm. Der Registrierungswert "Task Bar=C:\Windows\Taskbar.exe" muß aus dem Registrierungsschlüssel "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" mittels des Registrierungseditors (regedit) entfernt werden.

Bekannte Aliases

• I-Worm.Frethem.l
• W32/Frethem.l@MM
• WORM_FRETHEM.K
• W32/Frethem-Fam

Weitere Information zu diesem Thema

• W32.Frethem.K@mm (Norten/Symantec)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/