Worm.Frethem.l是一種電腦病毒,該病毒會利用自己的SMTP引擎向Windows地址簿及.dbx .wab,.mbx,.eml,.mdb檔案中的郵件地址傳送大量郵件。
基本介紹
- 中文名:密碼
- 外文名:Worm.Frethem.l
- 別名:W32.Frethem.L@mm[NAV]、I-Worm.Frethem.l[AVP]、W32/Frethem.l@MM[McAfee]、WORM_FRETHEM.K[Trend]、Win32.Frethem.K[CA]、W32/Frethem.K[Panda]
- 處理時間:2002-07-15
- 威脅級別:★★
- 病毒類型:蠕蟲
- 影響系統:Win9x / WinNT
病毒行為
1.病毒運行後檢察當前鍵盤是否為Russian或Uzbek 鍵盤,如果是則退出不感染。否則複製自身為%SystemRoot%\taskbar.exe,複製自身到C:\Windows\All Users\Start Menu\Programs\Startup\Setup.exe,這樣Windows每次啟動時,病毒會自動運行。
2.病毒在註冊表的主鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
中添加如下鍵值:
"Task Bar"="%SystemRoot%\taskbar.exe"
以便該病毒在每次重啟 Windows 時運行.
3.病毒會從如下註冊表中獲取用戶的SMTP伺服器、郵件地址及SMTP伺服器名:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001\SMTP Server
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001\SMTP Email Address
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001\SMTP Display Name
4.隨後病毒將從Windows地址簿及.dbx,.wab,.mbx,.eml,.mdb檔案中獲取郵件地址,並向這些地址傳送郵件。郵件格式如下:
主題:
Re: Your password!
正文:
ATTENTION!
You can access
very important
information by
this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
附屬檔案:Decrypt-password.exe及Password.txt
附屬檔案檔案Decrypt-password.exe就是是蠕蟲病毒檔案,經過了UPX及PE-Pack兩層加殼,本身用VC++編寫,大小為48K左右。而Password.txt是一個大小約93位元組的文本檔案。
由於該病毒利用了IFRAME及MIME漏洞,因此當用戶在閱讀或預覽郵件的時候會自動執行附屬檔案中病毒,感染用戶機器。
