Frethem.K, gusano que infecta al visualizar el mensaje, amenaza saturar servidores de correo y LAN 

© Jorge Machado  Lima-Perú

15 de Julio del 2002 

W32/Frethem.K@MM, I.worm.Frethem.K@mm

Frethem.K es un gusano reportado el 15 de Julio del 2002, variante del Frethem.J, de difusión masiva vía correo electrónico a través de mensajes con dos archivos anexados de nombres Decrypt-password.exe y Password.txt, los cuales tienen una extensión de 48 y 93 KB, respectivamente. 

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) que incluye al protocolo POP (Post Office Protocol) y se auto-envía a todos los contactos del sistema infectado, haciendo uso de la Libreta de Direcciones de Windows (WAB) y los archivos que contienen las direcciones de correo de MS-Outlook y Outlook Express.

Este gusano busca la vulnerabilidad denominada Iframe exploit, y MIME exploit que permiten que el archivo infectado se ejecute con tan solo leer el mensaje bajo la opción de vista previa. Los sistemas afectables, en el caso de que el usuario no haya actualizado las correcciones, son:

(Vulnerabilidad corregida en Internet Explorer 6x)

La vulnerabilidad del protocolo MIME (Multipurpose Internet Mail Extensions) consiste, en el caso que MS Outlook esté configurado con la opción de "Mostar panel de vista previa" activada, y consecuentemente será suficiente visualizar el mensaje, sin necesidad de ejecutar el archivo anexado, para infectar el sistema:

Para evitar este tipo de infecciones se debe deshabilitar la opción "Mostar panel de vista previa":

El parche tanto para el IFRAME exploit y el MIME exploit debe ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Al hacer click en el archivo infectado, el gusano se copia al directorio %Windows%\taskbar.exe para ejecutarse la próxima que se inicie el sistema, modificando la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
task bar = "%Windir%\taskbar.exe"

%windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

El gusano también toma el control del servidor SMTP (Send Mail Transfer Protocol) por defecto, del sistema infectado y de las direcciones de correo, a partir de las siguientes llaves de registro: 

[HKEY_CURRENT_USER\Software\Microsoft]
Internet Account Manager\Accounts\00000001\SMTP Server

[HKEY_CURRENT_USER\Software\Microsoft]
Internet Account Manager\Accounts\00000001\SMTP Email Address

[HKEY_CURRENT_USER\Software\Microsoft]
Internet Account Manager\Accounts\00000001\SMTP Display Name

Luego extrae los buzones de correo de la Libreta de Direcciones de Windows y de lo archivos .dbx, .wab, .mbx, .eml y .mdb, para auto-enviarse a todas las direcciones extraídas o capturadas.

Después de algunas horas, de haberse producido la infección, el gusano Frethem.K se auto-copiará a la carpeta C:\Windows\All Users\Start Menu\Programs\Startup\Setup.exe con el propósito de ejecutarse vada vez que se inicie el sistema.

El gusano se ejecuta en memoria y crea el "mutex" “IEXPLORE_MUTEX_AABBCCDDEEFF”. Los denominados mutex son unos objetos de sincronización que gobiernan el acceso a recursos del sistema y tienen privilegios asociados con estos recursos. Se puede crear un mutex, en particular, con el propósito de tomar el control de los recursos de aquellas redes que tienen privilegios inconsistentes. 

Este factor podría permitir a un atacante, que tenga la habilidad de ejecutar códigos en computadoras locales, monopolizar el "mutex" y tomar el control de la red.  

También manipula el WAB o Windows Address Book lo cual reviste mucha peligrosidad, ya que esta prestación permite las siguientes acciones, en los programas de correo de Microsoft:

El gusano cuenta además con cadenas que intentan conectarse a varias direcciones IP de Internet, en mayor número que las de su versión anterior Frethem.J, a través del puerto 80, con el objeto de incrementar su propagación:

El archivo anexado PASSWORD.TXT, contiene el siguiente texto:

Your password is W8dqwq8q918213

Dentro del código del virus se puede leer:

thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!

Gracias a las compañías de Antivirus por describir la idea!
sin acciones destructivas! No te preocupes, se feliz

Frethem.K no tiene un payload destructivo, pero su alto grado de propagación puede saturar servidores de Correo y LAN, pudiendo ocasionar una negación de Servicio DoS (Denial of Service). 

PER ANTIVIRUS® versión 7.6 desde su registro de virus del 13 de Julio del 2002 ya detectaba y eliminaba eficientemente este gusano y sus variantes, por tener la misma estructura de codificación viral.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS