Vírus e cia.

Frethem

Apelidos   Descontaminação com vacina específica
Características
   Medidas gerais de prevenção
Cuidados especiais com os Windows ME ou XP
   Onde obter mais informações
Cuidados extras necessários
  

Data de descoberta: 12/jul/2002

Origem: Desconhecida

Tamanho: versão J: 47.616 bytes, versão K: 35.840 bytes

O Frethem é um um worm não destrutivo, residente na memória e se propaga via e-mail. Depende de uma falha do Internet Explorer, nas versões 5.0 e 5.5, mas se autoenvia para todos os endereços da lista do Outlook, o que  pode causar congestionamento de servidores e grande lentidão na Internet.

Esse worm usa um SMTP (enviador de e-mail) próprio para mandar mensagens em massa e utiliza uma falha do Internet Explorer (IE) nas versões 5.0 e 5.5, sem atualizações de segurança, que permite inserir dados incorretos no cabeçalho do e-mail, e possibilita a execução automática de anexos automaticamente apenas com a simples visualização da mensagem.

O Frethem (variantes K e L) usa as informações do servidor de e-mail do usuário e se auto envia. Os endereços eletrônicos dos destinatários são obtidos do Windows Address Book (WAB) e de arquivos .dbx, utilizados pelo Outlook Express.

Essa falha do IE é antiga e não atinge quem já instalou os últimos "patches" de segurança da Microsoft. Mas, em computadores onde as atualizações não foram instaladas, o anexo é executado automaticamente e a mensagem é aberta no Microsoft Outlook e no Outlook Express, sem intervenção do usuário.
Quando decodificaram o worm encontraram o seguinte texto: <>thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY

Ou seja, o criador agradece as empresas antivírus por "terem descrito a idéia" que o levou a fabricar o worm e avisa, porém, que nenhuma ação destrutiva será executada.

Características

O worm chega num e-mail, com dois arquivos anexados, escrito em inglês, em que o texto está em letras vermelhas. No final do texto, há o nome de usuário da máquina infectada. Nos campos do e-mail lê-se:

Assunto: Re: Your password

Corpo da mensagem:
 

ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel


Ou seja:

Assunto: Re: Sua senha!

Corpo da mensagem:

ATENÇÃO!

Você pode acessar informações muito importantes com esta senha.

NÃO SALVE a senha no disco. Use a sua mente.

Agora pressione Cancelar.

---

A mensagem vem com os arquivos anexos:  Decrypt-password.exe e Password.txt.

O arquivo password.txt é inofensivo e contém apenas o seguinte texto: Your password is W8dqwq8q918213.


Se o arquivo exe anexado for aberto, isto é, se sobre ele for dado um duplo clique no anexo do e-mail, ou clicado o clips do Outlook o vírus será executado.


Então, o vírus faz uma cópia de si mesmo na pasta do Windows, com o nome de tasKBar.exe, e cria a seguinte chave no registro:

HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunTask Bar = %Windows%\tasKBar.exe

em que %Windows% corresponde à pasta no qual o sistema da Microsoft está instalado (geralmente C:\Windows).


Esta chave faz com que o worm seja executado toda a vez que o Windows for reiniciado.


O Frethem recolhe o endereço de smtp por meio da chave:
HKEY_CURRENT_USER\Software\Microsoft\Internet \Accounts\00000001

e passa a enviar mails a todos os nomes do catálogo do Windows e também extrai endereços de arquivos DBX, MBX, EML e MDB.


Em alguns casos, observou-se que o Internet Explorer passa a emitir pedidos para vários websites, provavelmente como uma forma de conseguir pontos de referência na Web.

 http://12.224.160.208/b.cgi
 http://12.225.239.153/b.cgi
 http://12.252.211.170/b.cgi
 http://128.173.231.167/b.cgi
 http://129.120.117.218/b.cgi
 http://140.158.208.167/b.cgi
 http://143.111.86.30/b.cgi
 http://147.26.215.144/b.cgi
 http://170.11.31.35/b.cgi
 http://207.171.103.126/b.cgi
 http://209.192.135.22/b.cgi
 http://213.190.55.222/b.cgi
 http://24.138.42.1/b.cgi
 http://24.153.41.186/b.cgi
 http://24.157.108.78/b.cgi
 http://24.159.28.120/b.cgi
 http://24.24.128.16/b.cgi
 http://24.242.106.163/b.cgi
 http://24.91.146.67/b.cgi
 http://24.91.187.71/b.cgi
 http://4.47.227.27/b.cgi
 http://63.231.167.66/b.cgi
 http://63.71.246.234/b.cgi
 http://64.211.174.43/b.cgi
 http://65.25.12.45/b.cgi
 http://66.31.193.42/b.cgi
 http://66.31.93.30/b.cgi
 http://66.68.22.102/b.cgi
 http://68.35.125.130/b.cgi
 http://68.42.253.163/b.cgi
 http://68.57.88.25/b.cgi


Diferentes empresas de antivírus ainda mostram muitas informações desencontradas sobre a ação do worm, o que indica que todas as suas características ainda não foram compreendidas ou que pode haver mais variantes.
 

Apelidos

W32.Frethem.J@mm (Symantec), W32/Frethem.gen@MM (Nai), WORM_FRETHEM.J (TrendMicro)
 

Procedimento para retirar o Frethem

Devem ser tomados cuidados especiais com o sistemas Windows ME e Windows XP:

O Windows ME usa um procedimento de back-up que faz cópias automaticamente na pasta  C:\_Restore, que é protegida pelo Sistema Operacional. Ou seja, isso significa que um arquivo infectado pode ser armazenado nessa pasta, como um arquivo de backup e, assim, o antivírus não poderá deletá-lo.

A ferramenta "Restore" no Windows XP é semelhante à  "última boa configuração" dos Windows 2000 e NT. Um arquivo infectado por um vírus pode ser armazenado na pasta que contém essas informações e, como tal pasta não pode ser modificada por programas externos,  antivírus não poderá deletá-lo.

Portanto, antes de fazer o procedimento manual ou de utilizar programas para retirar o Opaserv, quem utiliza o Windows ME ou o Windows XP deve desabilitar essas ferramentas. Se não souber como proceder:

 

Windows Me
Windows XP
clique aqui
clique aqui

Cuidados extras necessários

a. Aos usuários das versões 5.x do Internet Explorer
   Atualizar o navegador, a fim de corrigir a falha que possibilita a execução automática dos anexos.
   Acessar o seguinte endereço (site da Microsoft) e leia as instruções do boletim antes de copiar e instalar esta correção.

   http://www.microsoft.com/technet/security/bulletin/MS01-020.ASP

b. A todos os usuários de Windows
   Atualizar e executar os seus antivírus, pois todas as grandes empresas já tem antídotos para o Frethem.
 

Descontaminação com vacina específica

Algumas empresas disponibilizaram programas gratuitos que podem ser copiados.

- Panda
O programa pqremove.com, na versão de 2002 detecta e remove diversos vírus, worms, trojans , entre eles o Frethem.

Clique aqui para ter mais informações sobre esse programa e copiar o arquivo de instalação.
 

- Symantec
http://www.symantec.com/avcenter/FixFreth.exe  (arquivo com175 KB). Repara estragos causados pelas variantes W32.Frethem.A@mm e W32.Frethem.O@mm.

 1. Copiar o arquivo FixFreth para uma pasta, diretamente da Symantec, dando um duplo clique no link acima ou clicando com o botão direito do mouse em "Download" e, depois, clicando em algo como "Save link as":

downloa1

(Se não tiver acesso ao Windows Explorer, copiar o arquivo para um disquete, num computador não contaminado).

 2. Se o computador estiver conectado à Internet deve ser desconectado.

 3. Fechar os programas
 - Pressionar simultaneamente as teclas Ctrl, Alt e Del.
 - Abrir-se-á a janela de tarefas. (Todos os programas que estão sendo executados no momento aparecem nela).
 - Clique nas tarefas (uma de cada vez) e, depois, clique em "Finalizar", para cada uma delas.
 - Exceto o Explorer, todos os programas devem ser fechados.

 4. Se o Windows instalado for o ME ou XP, desabilitar a ferramenta "System Restore". Veja como fazer isso logo abaixo.

 5. Abrir-se-á uma janela, clicar em "Start" e todo o pc será escaneado.

 6. Reiniciar o Windows.

 7.Executar o programa novamente para se certificar que o sistema está limpo

 8. Se o Windows instalado for o ME ou XP, habilitar a ferramenta "System Restore". Veja como fazer isso logo abaixo.

 9. Conectar o computador à Internet.

10. Atualizar e Executar o antivírus instalado em seu computador

11. Quando terminar aparece um pequeno relatório ("Scan Report") em que consta o número de pastas ("Folders") arquivos ("Files") e, depois, o número de arquivos infectados ("infected"), avisos ("warnings"), suspeitos ("suspicious"), limpos ("cleaned"), deletados (deleted), limpos quando da reinicialização ("cleaned at restart"), deletados na reinicialização ("delete at restart"), arquivos em que Klez foi detectado mas não foi retirado ("unable to be cleaned"). Evidentemente, quanto mais zeros melhor!

Medidas gerais de prevenção

Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos conectados à Internet).

Essas medidas podem ser resumidas assim:

1. Jamais executar um programa ou abrir um arquivo sem antes executar o antivírus sobre a pasta que o contenha.

2. Atualizar o seu antivírus constantemente (todas as semanas e até diariamente as empresas distribuem cópias gratuitas dos arquivos que atualizam a lista dos novos vírus e vacinas).

3. Desativar a opção de executar documentos diretamente do programa de correio eletrônico.

4. Jamais executar programas que não tenham sido obtidos de fontes absolutamente confiáveis.

Leia mais sobre esse assunto, clicando aqui.

Onde obter mais informações

http://www.pandasoftware.com/library/W32FrethemK_en.htm 

http://www.pcseguro.pt/pcseguro.dll/noticias_fv?codigo=580

http://www.sophos.com/virusinfo/analyses/w32frethemfam.html

http://www.symantec.com/avcenter/venc/data/w32.frethem.j@mm.html

http://www.symantec.com/avcenter/venc/data/w32.frethem.k@mm.html

http://www.terra.com.br/informatica/2002/07/15/018.htm

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.K



Este "site", destinado prioritariamente aos alunos de Fátima Conti,
pretende auxiliar quem esteja começando a se interessar por internet,
segue as regras da  FDL (Free Documentation Licence),
computadores e programas, estando em permanente construção.
Sugestões e comentários são bem vindos.
Se desejar colaborar, clique aqui.
Agradeço antecipadamente.

Deseja enviar essa página?

Se você usa um programa de correio eletrônico devidamente configurado e tem
um e-mail pop3, clique em "Enviar página" (abaixo) para abrir o programa.
Preencha o endereço do destinatário da mensagem.
E pode acrescentar o que quiser.
(Se não der certo, clique aqui para saber mais).

Enviar página

Se você usa webmail copie o endereço abaixo

http://www.cultura.ufpa.br/dicas/vir/vir-fret.htm

Acesse a página do seu provedor. Abra uma nova mensagem.
Cole o endereço no campo de texto.
Preencha o endereço do destinatário.
E também pode acrescentar o que quiser.

Última alteração: 20 fev 2007