[Helpc] Alerte Virus: Frethem.K (= Frethem.L)

• From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
• To: <helpc@xxxxxxxxxxxxx>
• Date: Mon, 15 Jul 2002 21:56:57 +0200

Virus
Frethem.K (= Frethem.L) 
 

Frethem.K est un virus de mail qui se présente sous la forme d'un
message intitulé "Re: Your password!" accompagné des fichiers joints
PASSWORD.TXT et DECRYPT-PASSWORD.EXE (48 Ko), et dont le corps est :
ATTENTION! 

You can access 
very important 
information 
by this password 

DO NOT SAVE 
password to disk
use your mind 

now press 
cancel 

([nom ou pseudo du correpondant])
Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son
affichage dans la fenêtre de prévisualisation du logiciel de messagerie
Outlook, si l'application n'a pas été patchée contre une vulnérabilité
MIME et IFRAME connue. De plus, il exploite un bug de ce même logiciel
et modifie l'entête des messages envoyés de telle sorte que les fichiers
joints soient invisibles dans Outlook (pas de trombone) : l'utilisateur
pense se débarrasser du virus en supprimant un inoffensif message sans
pièce jointe alors qu'en fait dès la sélection de celui-ci il peut avoir
contaminé sa machine.
Si le fichier DECRYPT-PASSWORD.EXE est exécuté, le virus se copie dans
le répertoire Windows sous le nom TASKBAR.EXE, modifie la base de
registres pour s'exécuter automatiquement au prochain démarrage
(HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run),
puis s'envoie automatiquement à toutes les adresses emails présentes
dans le carnet d'adresses Windows (.WAB) ainsi que dans les fichiers
.DBX, .MBX, .EML et .MDB grâce à son propre moteur SMTP, en utilisant
généralement comme adresse d'expéditeur l'adresse non pas de la victime
infectée mais celle de l'un de ses correspondants.
Pour s'en préserver, il suffit s'il se présente de supprimer le message
sans exécuter le fichier joint. Les utilisateurs d'Internet
Explorer/Outlook doivent en plus s'assurer être à jour dans leurs
correctifs de sécurité. 
Le site Windows <http://www.secuser.com/outils/index.htm#windowsupdate>
Update pour mettre à jour Internet Explorer, ou sinon le télécharger le
correctif français ici
<http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.
asp>  (Security Bulletin MS01-020
<http://www.microsoft.com/technet/security/bulletin/MS01-020.asp> )
 
 
 
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
 
 

Other related posts:

• » [Helpc] Alerte Virus: Frethem.K (= Frethem.L)

1. Home
2. helpc
3. Archive
4. 07-2002

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---