Bajo el nombre de Frethem se ha bautizado un gusano caracterizado por
venir en un mensaje con el asunto «Re: Your password!» y que en los
últimos días está alcanzando índices de incidencia bastante altos.
Resulta inexplicable como un nuevo gusano con las mismas características
de BadTrans, Nimda o el más reciente Klez alcanza unas cifras de
infecciones muy significativas. Existen ya numerosas versiones de este
espécimen pero todas ellas con la misma característica, aprovechar la
vulnerabilidad iFRAME del Internet Explorer 5.01 y 5.5 y provocar que el
usuario se vea infectado sin llegar a abrir el mensaje ya que el virus
se autoejecuta desde las vista previa de mensajes del cliente de correo
electrónico Outlook.
Al igual que Klez, el gusano es capaz de cambiar o falsificar la dirección
del remitente del e-mail, por lo recibir un mensaje infectado con alguna
de las versiones de Frethem no indica expresamente que el remitente
también esté infectado. Sin duda, esto también provocará un nuevo aluvión
de mensajes informativos de los antivirus avisando al supuesto remitente
de una falsa infección o al receptor informándole de tal hecho y provocando
una mala imagen del falso receptor.
Características
Este nuevo gusano se caracteriza por el Asunto «Re: Your password!» y el
cuerpo de mensaje:
ATTENTION!
You can access
very important
information by
this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
Frethem aparece como una de las tareas activas en la Lista de tareas de
Windows, con el nombre taskbar.
Frethem crea el fichero taskbar.exe en el directorio de Windows y crea
la siguiente entrada en el Registro de Windowspara ejecutarse cada vez
que se inicie el ordenador:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Task Bar = %Windows%\TASKBAR.EXE
Recomendación
Al igual que virus ya conocidos como Klez o Nimda, se recomienda como
medida básica e inmediata actualizar el navegador Internet Explorer,
bien a la versión 6 o bien instalar los parches de seguridad de las
versiones 5.01 y la 5.5. Con esta sencilla medida se evitará que el
virus se autoejecute y se abra un cuadro de diálogo al previsualizar el
mensaje que alertará de la existencia de un virus.
Actualizar a Internet Explorer 6
http://www.microsoft.com/windows/ie_intl/es/
Usuarios de Internet Explorer 5.01
http://www.microsoft.com/downloads/release.asp?ReleaseID=29605
Usuarios de Internet Explorer 5.5
http://www.microsoft.com/downloads/release.asp?ReleaseID=31775
antonior@hispasec.com
Más información:
Alerta Antivirus:
http://www.alerta-antivirus.es/detalle_virus.php?cod_virus=1560
Trend Micro:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.K
McAfee:
http://vil.mcafee.com/dispVirus.asp?virus_k=99566
PandaSoftware:
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Frethem.K
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Frethem.J
Symantec:
http://www.symantec.com/avcenter/venc/data/w32.frethem.k@mm.html
Norman:
http://www.norman.com/virus_info/w32_frethem_k_mm.shtml
Bitdefender:
http://www.bitdefender-es.com/virusi/virusi_descrieri.php?virus_id=102
Computer Associates:
http://www3.ca.com/virusinfo/Virus.asp?ID=12564
http://www3.ca.com/virusinfo/Virus.asp?ID=12572
F-Secure:
http://www.f-secure.com/v-descs/frethem.shtml
Kaspersky:
http://www.viruslist.com/eng/viruslist.html?id=50644
Sophos:
http://www.sophos.com/virusinfo/analyses/w32frethemfam.html
VSAntivirus. Crónica de un virus:
http://www.vsantivirus.com/15-07-02.htm
http://www.vsantivirus.com/16-07-02.htm
Deja una respuesta