Asunto:
Re: Your password!

Texto:

ATTENTION! 

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Datos adjuntos:

decrypt-password.exe
password.txt

El archivo "password.txt" es inofensivo, y su tamaño es de 30 a 90 bytes. Algunas versiones no lo incluyen.

Cuando se ejecuta, el gusano muestra una ventana solo con el signo de atención (triángulo amarillo) y un botón de OK.

El envío masivo a otros usuarios, se realiza luego con un mensaje idéntico al recibido.

Las direcciones de envío las toma de la libreta de direcciones de Windows (WAB) y de los archivos de la base de mensajes del Outlook Express (DBF).

Obtiene el SMTP del usuario, su dirección electrónica y nombre, de estas claves del registro:

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001
SMTP Server

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001
SMTP Email Address 

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001
SMTP Display Name

Programado en Visual C++, el gusano tiene un tamaño de 35,840 bytes, y su código compactado con la utilidad de compresión de ejecutables UPX.

Se aprovecha de la vulnerabilidad "Incorrect MIME Header" que permite que el adjunto se ejecute en forma automática por solo leer el mensaje o verlo en el panel de vista previa.

Cuando se ejecuta en la máquina infectada el adjunto, se crea el siguiente archivo (SETUP.EXE) que es una copia del propio gusano:

C:\WINDOWS\Start Menu\Programs\Startup\setup.exe

Note que este archivo es creado en el directorio de inicio de aquellas computadoras con Windows en idioma inglés. Esto también minimiza la acción en sistemas en otros idiomas, incluido español.

Luego, procede a enviarse masivamente vía correo electrónico, como se explicó antes.

Solo una instancia de este gusano se ejecutará en memoria. Para ello, el virus crea y luego chequea la presencia del mutex "IEXPLORE_MUTEX_AABBCCDDEEFF" (un mutex es una especie de semáforo indicador de la presencia en memoria de un programa, para que el mismo no se vuelva a ejecutar hasta salir de él).

El gusano utiliza su propia rutina SMTP para enviar las copias del mensaje infectado.

El cuerpo del gusano contiene el siguiente texto:

nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!

El gusano usa los siguientes archivos para guardar información relacionada con su propio funcionamiento:

C:\Windows\status.ini
C:\Windows\Win64.ini

Eliminación manual del virus

Para eliminar el gusano de un sistema infectado, actualice sus antivirus y realice un escaneo de sus discos.

Para detener el proceso del virus en memoria, en Windows 9x y Me, pulse CTRL+ALT+SUPR.

En Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

En ambos casos, en la lista de tareas, señale la que se llame SETUP o SETUP.EXE y seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

Borre los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 693 - 31/may/02
W32/Frethem.A (Win64.A). Simula enlace a un sitio Web
http://www.vsantivirus.com/freedesktop.htm

VSantivirus No. 697 - 4/jun/02
W32/Frethem.B (Win64.B). Asunto: Re: Your password!
http://www.vsantivirus.com/freedesktop-b.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com