Virus Frethem.K (= Frethem.L) Frethem.K est un virus de mail qui se présente sous la forme d'un message intitulé "Re: Your password!" accompagné des fichiers joints PASSWORD.TXT et DECRYPT-PASSWORD.EXE (48 Ko), et dont le corps est : ATTENTION! You can access very important information by this password DO NOT SAVE password to disk use your mind now press cancel ([nom ou pseudo du correpondant]) Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation du logiciel de messagerie Outlook, si l'application n'a pas été patchée contre une vulnérabilité MIME et IFRAME connue. De plus, il exploite un bug de ce même logiciel et modifie l'entête des messages envoyés de telle sorte que les fichiers joints soient invisibles dans Outlook (pas de trombone) : l'utilisateur pense se débarrasser du virus en supprimant un inoffensif message sans pièce jointe alors qu'en fait dès la sélection de celui-ci il peut avoir contaminé sa machine. Si le fichier DECRYPT-PASSWORD.EXE est exécuté, le virus se copie dans le répertoire Windows sous le nom TASKBAR.EXE, modifie la base de registres pour s'exécuter automatiquement au prochain démarrage (HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run), puis s'envoie automatiquement à toutes les adresses emails présentes dans le carnet d'adresses Windows (.WAB) ainsi que dans les fichiers .DBX, .MBX, .EML et .MDB grâce à son propre moteur SMTP, en utilisant généralement comme adresse d'expéditeur l'adresse non pas de la victime infectée mais celle de l'un de ses correspondants. Pour s'en préserver, il suffit s'il se présente de supprimer le message sans exécuter le fichier joint. Les utilisateurs d'Internet Explorer/Outlook doivent en plus s'assurer être à jour dans leurs correctifs de sécurité. Le site Windows <http://www.secuser.com/outils/index.htm#windowsupdate> Update pour mettre à jour Internet Explorer, ou sinon le télécharger le correctif français ici <http://www.microsoft.com/windows/ie/downloads/critical/q290108/default. asp> (Security Bulletin MS01-020 <http://www.microsoft.com/technet/security/bulletin/MS01-020.asp> ) --->>> Shaka( Rudy) HelPC list owner shaka.rudy@xxxxxxxxx