Vírus encontrados em nossa base-de-dados:
|
|---|
| Nome do Vírus | Vírus do tipo | Origem | Data de Ataque |
| W32/Frethem.J |
WORM |
desconhecida |
qualquer dia |
Descrição Resumida:
Esse worm usa um SMTP próprio para enviar mensagens em massa e
explora uma brecha na segurança do IE 5.x que permite a
execução automática de um anexo sem a necessidade de
intervenção direta do usuário. Essa falha do IE é antiga, e não
atinge quem já instalou os últimos patches de segurança da
Microsoft.
O Frethem chega num e-mail, escrito em inglês, cujas principais
características são:
Assunto: "Re: Your Password!"
Corpo da Mensagem:
ATTENTION!
You can access very important information by this password
DO NOT SAVE password to disk use your mind
now press cancel
Anexos: Decrypt-password.exe e Password.txt.
Traduzindo: o texto principal diz: "Atenção! Você pode acessar
informações muito importantes com esta senha. NÃO SALVE a senha
no disco. Grave-a na mente. Agora, pressione Cancelar."
Se o usuário abrir o executável anexo, o Frethem envia e-mails
a todos os nomes do catálogo do Windows e também extrai
endereços de arquivos do tipo: DBX, MBX, EML e MDB. Quando o
browser do usuário é o IE 5.x, sem atualizações de segurança, o
invasor pode ser executado automaticamente com a simples
visualização da mensagem.
Após ser executado este worm faz as seguintes ações:
Ele se auto-copia para a pasta do Windows, com o nome de
TASKBAR.EXE, e se auto-configura para iniciar junto com o
Windows. Para tal ele cria a seguinte chave, no Registro do
Windows:
HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion
\Run
Task Bar=C:\Windows\Taskbar.exe
O worm - após algumas horas "hibernando" no micro infectado,
passa a enviar e-mails para todos os endereços que ele encontra
nos arquivos citados inicialmente. Ele também cria uma nova
cópia de si mesmo, desta vez para a pasta C:\Windows\All
Users\Start Menu\Programs\Startup\Setup.exe onde garante mais
uma vez que será executado a cada inicialização do sistema
operacional.
Esse worm utiliza-se - basicamente - de duas falhas do IE 5.x:
os "exploits" IFRAME e MIME. Isso garante que, em sistemas não
atualizados, o worm seja executado apenas pela visualização da
mensagem.
A versão Frethem.J é bastante similar à versão Frethem.K,
elas são praticamente idênticas, diferem apenas no tamanho do
anexo (a versão J tem um tamanho de 47.616 bytes, enquanto a K
tem 48.640 bytes), mas desenvolvem ações idênticas.
|
|
Apelidos/Variantes: W32/Frethem.gen, WORM_Frethem.J, W32/Frethem.K |
|
Ir para a Biblioteca Técnica |
| W32/Frethem.K |
WORM |
desconhecida |
qualquer dia |
Descrição Resumida:
Esse worm usa um SMTP próprio para enviar mensagens em massa e
explora uma brecha na segurança do IE 5.x que permite a
execução automática de um anexo sem a necessidade de
intervenção direta do usuário. Essa falha do IE é antiga, e não
atinge quem já instalou os últimos patches de segurança da
Microsoft.
O Frethem chega num e-mail, escrito em inglês, cujas principais
características são:
Assunto: "Re: Your Password!"
Corpo da Mensagem:
ATTENTION!
You can access very important information by this password
DO NOT SAVE password to disk use your mind
now press cancel
Anexos: Decrypt-password.exe e Password.txt.
Traduzindo: o texto principal diz: "Atenção! Você pode acessar
informações muito importantes com esta senha. NÃO SALVE a senha
no disco. Grave-a na mente. Agora, pressione Cancelar."
Se o usuário abrir o executável anexo, o Frethem envia e-mails
a todos os nomes do catálogo do Windows e também extrai
endereços de arquivos do tipo: DBX, MBX, EML e MDB. Quando o
browser do usuário é o IE 5.x, sem atualizações de segurança, o
invasor pode ser executado automaticamente com a simples
visualização da mensagem.
Após ser executado este worm faz as seguintes ações:
Ele se auto-copia para a pasta do Windows, com o nome de
TASKBAR.EXE, e se auto-configura para iniciar junto com o
Windows. Para tal ele cria a seguinte chave, no Registro do
Windows:
HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion
\Run
Task Bar=C:\Windows\Taskbar.exe
O worm - após algumas horas "hibernando" no micro infectado,
passa a enviar e-mails para todos os endereços que ele encontra
nos arquivos citados inicialmente. Ele também cria uma nova
cópia de si mesmo, desta vez para a pasta C:\Windows\All
Users\Start Menu\Programs\Startup\Setup.exe onde garante mais
uma vez que será executado a cada inicialização do sistema
operacional.
Esse worm utiliza-se - basicamente - de duas falhas do IE 5.x:
os "exploits" IFRAME e MIME. Isso garante que, em sistemas não
atualizados, o worm seja executado apenas pela visualização da
mensagem.
A versão Frethem.J é bastante similar à versão Frethem.K,
elas são praticamente idênticas, diferem apenas no tamanho do
anexo (a versão J tem um tamanho de 47.616 bytes, enquanto a K
tem 48.640 bytes), mas desenvolvem ações idênticas.
|
|
Apelidos/Variantes: W32/Frethem.I, WORM_Frethem.K, W32/Frethem.I |
|
Ir para a Biblioteca Técnica |
Total de 2 vírus encontrados...
Atenção: não podemos dar suporte
diretamente para os internautas
use nosso
FÓRUM VÍRUS ALERTA
para poder enviar suas dúvidas;
Desejando um suporte diferenciado, associe-se ao
Clube do Help Desk;
|
