I løbet af weekenden er nye varianter af virus-ormen W32.Frethem vågnet op til dåd og begyndt at sprede sig i stigende tempo. Samtlige antivirusfirmaer har udsendt advarsler om virusen, der også er fundet i Danmark.
Virusen optræder i sin nuværende form i en e-mail med emnet: Re: Your Password. To filer er vedhæftet: DECRYPT-PASSWORD.EXE og PASSWORD.TXT.
Den spreder sig som en virus, men inficerer systemet med en orm, der forbinder til en række websteder, muligvis for at give ophavsmanden en kort fortjeneste på trafikken.
Antivirusfirmaerne kategoriserer virusen som lav til middel risiko. Hvis man har antivirussoftware installeret og jævnligt opdaterer Windows og specielt Internet Explorer, så er risikoen lav. Hvis Internet Explorer ikke er patchet, vokser risikoen, fordi denne virus er én af mange, der udnytter både den såkaldte IFRAME-sårbarhed i Internet Explorer og en sårbarhed i MIME i Outlook.
Det betyder, at hvis man bruger Outlook eller Outlook Express som e-mailklient, kan disse vira aktivere sig selv, når e-mailen åbnes eller vises i preview-vinduet. Dermed kan den inficere Windows på et ikke-opdateret system, selvom man overholder de normale forholdsregler, og ikke åbner vedhæftede filer.
Egen postserver
Den seneste variant af virusen W32.Frethem.K indeholder sin egen SMTP-server. Det kan gøre det lettere for virusen at sprede sig, fordi den ikke skal en tur forbi den inficerede brugers egen SMTP-server, der kan have forskellige restriktioner for videresendelse af e-mail.
På inficerede systemer vil virusen hente sende sig selv videre til alle i adressebogen, ligesom den installerer et program, der kører i baggrunden. Den bruger dette program til at forbinde til en lang liste af websteder. Flere af disse peger på sider, hvor der findes uautoriserede opkaldsprogrammer af den type, der kan give høje telefonregninger til brugere med modem.
Derudover gør ormen ingen skade på systemet, men indeholder en kort besked, hvor ophavsmanden takker antivirusfirmaerne for at have givet ham idéen.
Virusen opdages allerede af de nyeste profiler fra antivirusfirmaerne, men kan også fjernes manuelt fra inficerede systemer.
Relevante links:
Microsoft om sårbarheden i Internet Explorer
Computer Associates om Frethem
McAfee om Frethem
http://www.symantec.com/avcenter/venc/data/w32.frethem.k@mm.html" target="_new">Symantec om Frethem
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.K" target="_new">Trend Micro om Frethem
http://www.virus112.dk/index.php?page=artikel&artid=483" target="_new">Virus 112 om Frethem