lunes, 15 de julio de 2002

Gusano Frethem, una vez más se repite la historia

Bajo el nombre de Frethem se ha bautizado un gusano caracterizado por
venir en un mensaje con el asunto "Re: Your password!" y que en los
últimos días está alcanzando índices de incidencia bastante altos.
Resulta inexplicable como un nuevo gusano con las mismas características
de BadTrans, Nimda o el más reciente Klez alcanza unas cifras de
infecciones muy significativas. Existen ya numerosas versiones de este
espécimen pero todas ellas con la misma característica, aprovechar la
vulnerabilidad iFRAME del Internet Explorer 5.01 y 5.5 y provocar que el
usuario se vea infectado sin llegar a abrir el mensaje ya que el virus
se autoejecuta desde las vista previa de mensajes del cliente de correo
electrónico Outlook.

Al igual que Klez, el gusano es capaz de cambiar o falsificar la dirección
del remitente del e-mail, por lo recibir un mensaje infectado con alguna
de las versiones de Frethem no indica expresamente que el remitente
también esté infectado. Sin duda, esto también provocará un nuevo aluvión
de mensajes informativos de los antivirus avisando al supuesto remitente
de una falsa infección o al receptor informándole de tal hecho y provocando
una mala imagen del falso receptor.

Características

Este nuevo gusano se caracteriza por el Asunto "Re: Your password!" y el
cuerpo de mensaje:

ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Frethem aparece como una de las tareas activas en la Lista de tareas de
Windows, con el nombre taskbar.

Frethem crea el fichero taskbar.exe en el directorio de Windows y crea
la siguiente entrada en el Registro de Windowspara ejecutarse cada vez
que se inicie el ordenador:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Task Bar = %Windows%\TASKBAR.EXE

Recomendación

Al igual que virus ya conocidos como Klez o Nimda, se recomienda como
medida básica e inmediata actualizar el navegador Internet Explorer,
bien a la versión 6 o bien instalar los parches de seguridad de las
versiones 5.01 y la 5.5. Con esta sencilla medida se evitará que el
virus se autoejecute y se abra un cuadro de diálogo al previsualizar el
mensaje que alertará de la existencia de un virus.

Actualizar a Internet Explorer 6
http://www.microsoft.com/windows/ie_intl/es/

Usuarios de Internet Explorer 5.01
http://www.microsoft.com/downloads/release.asp?ReleaseID=29605

Usuarios de Internet Explorer 5.5
http://www.microsoft.com/downloads/release.asp?ReleaseID=31775



Antonio Ropero
antonior@hispasec.com


Más información:

Alerta Antivirus:
http://www.alerta-antivirus.es/detalle_virus.php?cod_virus=1560

Trend Micro:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.K

McAfee:
http://vil.mcafee.com/dispVirus.asp?virus_k=99566

PandaSoftware:
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Frethem.K
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Frethem.J

Symantec:
http://www.symantec.com/avcenter/venc/data/w32.frethem.k@mm.html

Norman:
http://www.norman.com/virus_info/w32_frethem_k_mm.shtml

Bitdefender:
http://www.bitdefender-es.com/virusi/virusi_descrieri.php?virus_id=102

Computer Associates:
http://www3.ca.com/virusinfo/Virus.asp?ID=12564
http://www3.ca.com/virusinfo/Virus.asp?ID=12572

F-Secure:
http://www.f-secure.com/v-descs/frethem.shtml

Kaspersky:
http://www.viruslist.com/eng/viruslist.html?id=50644

Sophos:
http://www.sophos.com/virusinfo/analyses/w32frethemfam.html

VSAntivirus. Crónica de un virus:
http://www.vsantivirus.com/15-07-02.htm
http://www.vsantivirus.com/16-07-02.htm