Virus-Warnung  -  Virus-Beschreibung

Virus-Warnung aufgrund einer hohen Verbreitung!

Name: W32.Frethem.K@mm

Alias: I-Worm/Frethem

Art: Massenmailer-Wurm

Betriebssystem: Microsoft Windows

Verbreitung: hoch

Schadensfunktion: Massenmail

bekannt seit: 15. Juli

W32.Frethem.K@mm ist eine Variante des bekannten Wurms W32.Frethem.B@mm.

Der Wurm nutzt eine Schwäche des MIME-Headers der E-Mail in Verbindung mit

einer Sicherheitslücke des Internet Explorers (5.01 und 5.5), um sich beim

Lesen der E-Mail selber zu aktivieren. Informationen zu dieser

Sicherheitslücke finden Sie im Microsoft-Artikel: "Incorrect MIME Header Can

Cause IE to Execute E-mail Attachment" unter:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

Er erzeugt einen Eintrag in der Registry, mit dem er beim Systemstart

aktiviert wird:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Task Bar = %Windows%\TASKBAR.EXE

Die Datei TASKBAR.EXE im Windows-Verzeichnis enthält den Wurmcode.

W32.Frethem.K@mm verwendet seine eigene SMTP-Maschine und sendet sich damit

an alle Adressen die er im Windows Adressbuch und in .dbx, .wab, .mbx, .eml,

und .mdb Dateien findet.

Betreff:

Re: Your password!

Nachrichtentext:

ATTENTION!

You can access

very important

information by

this password

DO NOT SAVE

password to disk

use your mind

now press

cancel

Anhang:

Decrypt-password.exe und Password.txt

Bei Ausführung der Datei Decrypt-password.exe wird der Wurm aktiviert.

Ein Update der Viren-Schutzsoftware ist erforderlich. Viren-Signaturen ab

dem 15.07.2002 erkennen diesen Wurm.