| Alias-Namen: WORM_FRETHEM.K, W32/Frethem.l@MM, Win32.Frethem.F@mm , W32.Frethem.K@mm Virentyp: EXE-Wurm Verbreitung: via E-Mail als Anhang (decrypt-password.exe). Unter ungünstigen Voraussetzungen reicht es schon, die Mail nur zu öffnen und eine Infektion wird gestartet. Der Worm ist in weit über 10 verschiedenen Varianten gesichtet worden !
Betreff/Subject: Unterschiedlich, u.a. Your password! Erkennbare Anzeichen einer Infektion: taskbar.exe im Verzeichnis c:\windows\taskbar.exe
Bekannte Schäden: Legt Autostart Schlüssel in der Registry an: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunTask Bar = %Windows%TASKBAR.EXE
Verbreitet sich mittels einer eigenen SMTP-Routine. Sucht die SMTP-Daten aus dem Registry Schlüssel: HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts0000001
Ist dieser Account nicht vorhanden, verbreitet sich der Wurm auch nicht. Mailadressen sucht Frethem aus dem Windows Adressbuch, .mbx,.eml, .mdb, .dbx Dateien zusammen. Desweiteren werden Verbindungen zu verschieden Webservern (Seiten) aufgebaut. Der Wurm lädt sich ein Backdoorprogramm von einem entfernten Server aus dem Netz.
Einige Virenscanner erkennen neue Varianten mitunter nicht. Daher empfehlen wir ständig Updates der Defintitionsdateien durchzuführen. Frethem tritt erst seit um dem 15. Juli 2002 auch sehr verstärkt in Deutschland auf.
Cleaner Tool zur Identifizierung und Entfernung gibt es bei uns. KLICKE HIER Informationen Englisch: McAfee | CAI | Symantec | F-Secure | BitDefender | Informationen Deutsch: TrendMicro | Sophos | Ikarus | |