A Frethem.k, pontosabban a w32.frethem.k@mm névre hallgató vírus elődje, a Frethem.e sokkal robusztusabb variánsa: beépített SMTP-vel (Simple Mail Transfer Protocol) rendelkezik, amelynek segítségével a sérült rendszerben található e-mail címekre továbbítja magát.
Romboló részeket a féreg nem hordoz. A Frethem.k csak e-mailen keresztül terjed, adatokat nem károsít. A Macintosh vagy Linux rendszert használók nincsenek veszélyben.
Működési elve
A Frethem.k olyan levelekben érkezik, amelynek tárgyaként “Re: Your password!” (Válasz: A jelszód!) olvasható. A levél tartalma a következő:
ATTENTION!
You can access
very important
information by
this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
(Figyelem! Nagyon értékes információkhoz juthatsz ezzel a jelszóval. Ne mentsd le, jegyezd meg, és most nyomd meg a “Törlés” gombot!)
Csatolás is érkezik a vírussal: vagy decrypt-password.exe (48K), vagy password.txt (93K) néven. Ez utóbbit kinyitva a következő üzenet olvasható: “Your password is W8dqwq8q918213.”
Mi történik az aktiválása során?
Az e-mail kinyitásakor a vírus taskbar.exe néven bemásolja magát a C:WindowsStartmenuProgramsStartupsetup.exe könyvtárba, így minden rendszerinduláskor betöltődik a memóriába. Hozzáadja a Taks Bar C://Windows/taskbar.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz.
A sérült rendszer SMTP-jének használatához a vírus a következő Registry részeket keresi meg:
Hkey_current_userSoftwareMicrosoftInternetAccountManagerAccounts 0000001.
Ha a 0000001 account nem létezik, nem terjed tovább. További e-mail címeket gyűjt viszont a WAB, MBX, EML, MDB kiterjesztésű fájlokból, majd az elérhető e-mail címekre továbbítja magát. A Frethem.k jónéhány internetes szájthoz is kötődik – valószínűleg azért, hogy készítője büszkélkedhessen az oldalak letöltésének megugrásával is.
Eltávolítás
A legtöbb vírusírtó cég frissítette szoftvereit, amelyekkel a Frethem.k könnyűszerrel eltávolítható. A vírusírtás végett érdemes ellátogatni a Computer Associates , az F-Secure , a McAfee , a Norman , a Sophos , a Symantec vagy a Trend Micro megfelelő oldalaira.