Frethem.K
est un
virus de mail qui
se présente sous la forme d'un message intitulé "Re: Your
password!" accompagné des fichiers joints PASSWORD.TXT
et DECRYPT-PASSWORD.EXE (48 Ko), et dont le corps
est :
ATTENTION!
You
can access
very important
information
by this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
([nom ou pseudo du correpondant])
Le
virus s'exécute automatiquement à l'ouverture
du mail ou lors de son affichage dans la fenêtre de
prévisualisation du logiciel de messagerie Outlook,
si l'application n'a pas été patchée
contre une vulnérabilité IFRAME connue. De plus,
il exploite un bug de ce même logiciel et modifie l'entête
des messages envoyés de telle sorte que les fichiers
joints peuvent être invisibles dans Outlook (pas de
trombone) : l'utilisateur pense se débarrasser du virus
en supprimant un message inoffensif sans pièce jointe
alors qu'en fait dès la sélection de celui-ci
il contamine sa machine.
Si
le fichier DECRYPT-PASSWORD.EXE est exécuté,
le
virus se copie dans le répertoire Windows sous le nom
TASKBAR.EXE,
modifie la base de registres pour s'exécuter automatiquement
au prochain démarrage (HKEY_CURRENT_USER\ Software\
Microsoft\ Windows\ CurrentVersion\ Run), puis s'envoie automatiquement
à toutes les adresses emails présentes dans
le carnet d'adresses Windows (.WAB) ainsi que dans les fichiers
.DBX, .MBX, .EML et .MDB grâce à son propre moteur
SMTP.
Ce
virus n'est pas destructif, mais il est souvent impossible
de prévenir une personne infectée car Frethem.K peut s'envoyer
non pas avec l'adresse de la personne contaminée mais
avec une adresse prise au hasard parmi celles se trouvant
sur l'ordinateur de la victime.
Pour
s'en préserver, il suffit s'il se présente de supprimer
le message sans exécuter le fichier joint. Les utilisateurs
d'Internet Explorer/Outlook doivent en plus s'assurer être
à jour dans leurs correctifs de sécurité.
Le site
Windows Update pour mettre à jour Internet Explorer, ou
sinon télécharger manuellement le correctif
sur le site
de Microsoft
Télécharger
l'utilitaire FIXFRETH (Symantec) pour rechercher et éliminer
toutes les variantes connues du virus Frethem, dont Frethem.K
Dossier
Secuser.com sur les virus
Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
Frethem,
un virus à propagation rapide
15/07 - VNUNet (lire
l'article)
|