W32/Frethem.J@MM 

FreThem.J es un gusano reportado el 13 de Julio del 2002, de difusión masiva, vía correo electrónico a través de mensajes con dos archivos anexados de nombres Decrypt-password.exe y Password.txt, los cuales tienen una extensión de 46 y 93 KB, respectivamente. 

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) que incluye al protocolo POP (Post Office Protocol) y se auto-envía a todos los contactos del sistema infectado, haciendo uso de la Libreta de Direcciones de Windows (WAB) y los archivos que contienen las direcciones de correo de MS-Outlook y Outlook Express.

Es un PE (Portable Ejecutable) e infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000. Ha sido desarrollado en lenguaje Visual C++ y está doblemente comprimido, con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net     

y con el compresor de archivos PEPak:

http://arctest.narod.ru/self/pepack.htm

Al hacer click en el archivo infectado, el gusano se copia al directorio %Windows%\taskbar.exe para ejecutarse la próxima que se inicie el sistema, modificando la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
task bar = "%Windir%\taskbar.exe"

%windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

El gusano también toma el control del servidor SMTP (Send Mail Transfer Protocol) por defecto, del sistema infectado y de las direcciones de correo, a partir de las siguientes llaves de registro: 

[HKEY_CURRENT_USER\Software\Microsoft]
Internet Account Manager\Accounts\00000001\SMTP Server

[HKEY_CURRENT_USER\Software\Microsoft]
Internet Account Manager\Accounts\00000001\SMTP Email Address

[HKEY_CURRENT_USER\Software\Microsoft]
Internet Account Manager\Accounts\00000001\SMTP Display Name

Luego extrae los buzones de correo de la Libreta de Direcciones de Windows y de lo archivos .dbx, .wab, .mbx, .eml y .mdb, para auto-enviarse a todas las direcciones extraídas o capturadas.

Este gusano busca la vulnerabilidad denominada Iframe exploit, y MIME exploit que permiten que el archivo infectado se ejecute con tan solo leer el mensaje bajo la opción de vista previa. Los sistemas afectables, en el caso de que el usuario no haya actualizado las correcciones, son:

• Microsoft Internet Explorer 5  para Windows 98

• Microsoft Internet Explorer 5  para Windows 95

• Microsoft Internet Explorer 5  para Windows NT 4.0

(Vulnerabilidad corregida en Internet Explorer 6x)

Después de algunas horas, de haberse producido la infección, el gusano Frethem.J se auto-copiará a la carpeta C:\Windows\All Users\Start Menu\Programs\Startup\Setup.exe con el propósito de ejecutarse vada vez que se inicie el sistema.

El gusano se ejecuta en memoria y crea el "mutex" “IEXPLORE_MUTEX_AABBCCDDEEFF”. Los denominados mutex son unos objetos de sincronización que gobiernan el acceso a recursos del sistema y tienen privilegios asociados con estos recursos. Se puede crear un mutex, en particular, con el propósito de tomar el control de los recursos de aquellas redes que tienen privilegios inconsistentes. 

Este factor podría permitir a un atacante, que tenga la habilidad de ejecutar códigos en computadoras locales, monopolizar el "mutex" y tomar el control de la red.  

También manipula el WAB o Windows Address Book lo cual reviste mucha peligrosidad, ya que esta prestación permite las siguientes acciones, en los programas de correo de Microsoft:

• Crear registros de contactos.
• Guardar localmente la información de los contactos.
• Buscar registros en la base de datos de contactos.
• Editar la información de los contactos.
• Agregar contactos de mensajes de correo cuando se recibe información de un remitente.
• Importar contactos desde otros programas. 

El gusano cuenta además con cadenas que intentan conectarse a varias direcciones IP de Internet, a través del puerto 80, con el objeto de incrementar su propagación:

• http://12.224.160.208/b.cgi
• http://12.225.239.153/b.cgi
• http://12.252.211.170/b.cgi
• http://128.173.231.167/b.cgi
• http://129.120.117.218/b.cgi
• http://140.158.208.167/b.cgi
• http://143.111.86.30/b.cgi
• http://147.26.215.144/b.cgi
• http://170.11.31.35/b.cgi
• http://207.171.103.126/b.cgi
• http://209.192.135.22/b.cgi
• http://213.190.55.222/b.cgi
• http://24.138.42.33/b.cgi
• http://24.153.41.186/b.cgi
• http://24.157.108.78/b.cgi
• http://24.159.28.120/b.cgi
• http://24.24.128.16/b.cgi
• http://24.242.106.163/b.cgi
• http://24.91.146.67/b.cgi
• http://24.91.187.71/b.cgi
• http://4.47.227.27/b.cgi
• http://63.231.167.66/b.cgi
• http://63.71.246.234/b.cgi
• http://64.211.174.43/b.cgi
• http://65.25.12.45/b.cgi
• http://66.31.193.42/b.cgi
• http://66.31.93.30/b.cgi
• http://66.68.22.102/b.cgi
• http://68.35.125.130/b.cgi
• http://68.42.253.163/b.cgi
• http://68.57.88.25/b.cgi

Dentro del código del virus se puede leer:

thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!

Gracias a las compañías de Antivirus por describir la idea!
sin acciones destructivas! No te preocupes, se feliz

FreThem.J no tiene un payload destructivo, pero su alto grado de propagación puede saturar servidores de Correo y LAN, pudiendo ocasionar una negación de Servicio DoS (Denial of Service). 

El parche para tanto el IFRAME exploit y el MIME exploit debe ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

PER ANTIVIRUS® versión 7.6 con registro de virus al 13 de Julio del 2002 detecta y elimina eficientemente este gusano.