Real e Ilustre Colegio de Abogados de Zaragoza
 
W32/Frethem.K
 
 
  
Nombre: W32/Frethem.K
Alias:  
Categorías del virus: Gusano
¿Reparable?: Si
Fecha de aparición: 15/07/2002
Nivel de Riesgo (0-5): 2
Nivel de Distribución (0-5): 4
Nivel de Daños (0-5): 2
  
  
Descripción breve: 

          W32/Frethem.K es un gusano que se propaga rápidamente por correo electrónico mediante un mensaje fácil de reconocer, pues su asunto es: Re: Your password!. Además, en el mensaje se incluye el fichero decrypt-password.exe.  

          De este modo, el autor del gusano intenta engañar al recepetor del mismo para que ejecute el fichero adjunto, pensando que contiene una contraseña con la que supuestamente podrá acceder a información de interés. 

          La infección se produce con la simple visualización del mensaje a través de la Vista previa. Esto se debe a que W32/Frethem.K aprovecha una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5). 

          Su objetivo es obtener información sobre las cuentas de correo electrónico y el servidor SMTP predeterminado que utilizará para enviarse. Estos datos los obtiene del Registro de Windows y de la base de datos de Outlook Express. 

          W32/Frethem.K tiene un tamaño de 48640 Bytes y está comprimido con PE-Pack y UPX. 
  
  
Modo de propagación: 
  
          W32/Frethem.K se propaga rápidamente por correo electrónico, enviándose a todos los contactos que encuentra en la Libreta de direcciones. Por otra parte, W32/Frethem.K tambien se envía a las direcciones de correo que encuentre en ficheros con las siguientes extensiones: dbx, .wab, .mbx, .eml y .mdb.  

          Las características del mensaje que envía son las siguientes: 

          - Asunto o título del mensaje:  
                    Re: Your password! 

          - Contenido del mensaje (texto que aparece en su interior): 
                    ATTENTION! 

                    You can access 
                    very important 
                    information by 
                    this password 

                    DO NOT SAVE 
                    password to disk 
                    use your mind 

                    now press 
                    cancel 

          - Fichero adjunto o incluido en el mensaje: 
                    decrypt-password.exe 
                    password.txt 
  
          W32/Frethem.K es capaz de cambiar la dirección del remitente del mensaje de correo, por lo que muchos de los mensajes que contienen el gusano W32/Frethem.K parecen haber sido remitidos por usuarios cuyos equipos, en realidad, no han sido atacados por él.  
  
  
Síntomas de infección: 

          W32/Frethem.K aparece como una de las tareas activas en la Lista de tareas de Windows, con el nombre taskbar. Esto es debido a que se coloca como residente en memoria cuando se ejecuta. 

          El primer síntoma de la presencia de este virus en el ordenador afectado es la recepción de un mensaje de correo con el siguiente asunto: Re: Your password!. 

          Si usted ha recibido un mensaje con tales características, NO ABRA EL MENSAJE, NI EJECUTE EL FICHERO ADJUNTO. Si lo hiciera, el gusano se activaría y trataría de reenviarse. Para evitar cualquier posibilidad de que este virus actúe, es importante eliminar el mensaje definitivamente.  

          Otro síntoma que indica que W32/Frethem.K está en su ordenador, es la existencia del fichero taskbar.exe en el directorio de Windows. 
  
  
Métodos de infección: 
  
          W32/Frethem.K crea el siguiente fichero:  

                    taskbar.exe. Lo crea en el directorio de Windows. 

          W32/Frethem.K crea la siguiente entrada en el Registro de Windows: 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ Task Bar = %Windows%\TASKBAR.EXE 

          Con ello consigue activarse siempre que se arranca el ordenador infectado. 

          W32/Frethem.K accede al Registro de Windows y de la base de datos de Outlook Express del equipo atacado para obtener información sobre las direcciones de correo a las que enviarse, y sobre el servidor de correo predeterminado.  

          Posteriormente, para realizar el envío por correo electrónico, abre una conexión SMTP directamente con el servidor.  

          Las claves del Registro a las que accede para recopilar esta información son las siguientes:  

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP Server 

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP Email Address 

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP Display Name 

          W32/Frethem.K contiene el siguiente texto dentro de su código: 

thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!  nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY! 
  
  
Cómo reparar los efectos producidos: 
  
          Si usted es cliente registrado de Panda Software, actualice su herramienta antivirus en la dirección http://www.pandasoftware.es/es/actualizaciones.asp. Después de hacerlo, realice un análisis con él. 

          Si usted no es cliente registrado de Panda Software, analice ahora su/s ordenador/es mediante nuestra herramienta de análisis OnLine: ActiveScan.  

          Para desinfectar su ordenador de forma automática, siga las siguientes instrucciones: 

          - Si tiene instalado Panda Antivirus Titanium o Platinum pulse aquí para obtener unas instrucciones orientadas a su producto. 

          - Si tiene una pequeña red de ordenadores con Panda Administrator instalado, pulse aquí para obtener unas instrucciones orientadas a su producto. 

          - Si tiene instalado Panda Administator y tiene una gran red pulse aquí para obtener unas instrucciones orientadas a su producto. 

          Si usted no es cliente de de Panda Software siga estas instrucciones: 
 
          Panda Software cuenta con una herramienta que permite solucionar este problema y restablecer los valores originales y correctos de la configuración: PQREMOVE. Desde esta página podrá descargar dicha herramienta 

          Si dispone de una red de ordenadores deberá desconectar el cable de red de todas las estaciones y servidores que la compongan. De esta forma se evitará que se infecten de nuevo durante el proceso de desinfección. 

          Descargue el fichero PQREMOVE.COM y guárdelo en el directorio que usted desee (puede descargarlo, pinchando sobre el siguiente icono). 
 

          Para ejecutar está aplicación, bastará con que haga doble clic sobre el fichero que se ha descargado. A partir de ese momento, siga las instrucciones que se le indican. 

NOTA: Aunque Pqremove indique que no ha encontrado virus activos en el sistema, pulse el botón Continuar para realizar un análisis completo. A continuación, reinicie el equipo y confirme la eliminación del virus efectuando un segundo análisis con la herramienta Pqremove. Una de las características de este virus es que, en ocasiones, borra parte de programas, incluido los Antivirus. Esto quiere decir, que estos programas quedarán inutilizables o sin funcionalidad. Por este motivo le aconsejamos vuelva a instalarlos. 
 
          Tenga en cuenta que la herramienta PQREMOVE, permite desinfectar el virus y reparar cada una de las modificaciones que éste ha realizado en el ordenador infectado. Sin embargo, después de esto, sólo estará protegido contando con una herramienta antivirus que se adapte a sus necesidades.