Felbukkant a W32.Frethem.K@mm nevezetű féreg

A különböző antivírus szoftverek fejlesztésével foglalkozó Symantec cég hétfő reggel figyelmeztetést adott ki azzal kapcsolatban, hogy a cég szakemberei rábukkantak a W32.Frethem.B@mm féreg legújabb variánsára, mely a keresztségben a W32.Frethem.K@mm nevet kapta. A legújabb Frethem variáns a Symantec szerint a saját SMTP engine-jét használja fel annak érdekében, hogy a Microsoft Windows Address Book-ban, illetve a .dbx, .wab, .mbx, .eml, illetve .mdb kiterjesztéssel rendelkező állományokban található elektronikus levélcímekre elpostázza magát. A féregtől "csak" a Microsoft operációs rendszert használó felhasználóknak kell tartaniuk, egész pontosan azoknak, akik Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, illetve Windows Me operációs rendszert használnak.

A W32.Frethem.K@mm férget úgy lehet felismerni, hogy a magát a férget tartalmazó elektronikus levél a következő subjecttel (tárgy) érkezik: Re: Your Password!. Ugyancsak a féreg ismertetőjelei közé tartozik a fertőzött e-mail csatolmányában található Decrypt-password.exe, illetve Password.txt nevezetű fájl. A fertőzött levél törzse pedig a következő:

"ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel"

A Symantec szerint amint a W32.Frethem.K@mm életre kel, első dolga, hogy bemásolja magát a felhasználó merevlemezén található Windows főkönyvtárban egy Taskbar.exe nevezetű fájlba. A féreg természetesen képes a Windows főkönyvtárának automatikus detektálására, tehát az esetlegesen Linux-nak nevezett Windows főkönyvtár sem képes megzavarni a működését. A féreg ezt követően módosít néhány regisztrációs kulcsot, és begyűjti a számítógépen bekonfigurált SMTP szerver nevét, illetve az adott felhasználó e-mail címét. A féreg egyébként egy IFRAME, illetve egy MIME biztonsági rést kihasználva mind a csatolmányok előzetes megjelenítésekor, mind olvasásakor képes fertőzni. A Symantec szerint a féreg pár órányi "alvást" követően bemásolja magát egy "C:\Windows\All Users\Start Menu\Programs\Startup\Setup.exe" nevű fájlba, mely fájl később minden rendszerinduláskor automatikusan el fog indulni. A Symantec munkatársai a W32.Frethem.K@mm férget a gyorsan terjedő, azonban a felhasználókra komoly veszélyt nem jelentő férgek közé sorolták be.