|
Frethem.E
Frethem.E est un virus de mail qui se présente
sous la forme d'un message intitulé "Re:
Your password!" accompagné des fichiers
joints PASSWORD.TXT et DECRYPT-PASSWORD.EXE
(35,8 Ko), et dont le corps est :
"ATTENTION!
You can access very important information by
this password
DO NOT SAVE password to disk
use your mind
now press cancel"
W32/Frethem
est présent dans le fichier EXE joint,
qui essaie d'exploiter un bug de Outlook afin
de s'exécuter automatiquement lorsque
l'e-mail est lu.
Pièces
jointes : decrypt-password.exe, password.txt
Le
fichier password.txt n'est pas infecté,
il contient juste le texte :
Your
password is W8dqwq8q918213
Le
virus s'exécute automatiquement à
l'ouverture du mail ou lors de son affichage
dans la fenêtre de prévisualisation
d'Outlook, si l'application n'a pas été
patchée contre une vulnérabilité
MIME et IFRAME connue.
Si
le fichier DECRYPT-PASSWORD.EXE est exécuté,
le virus se copie dans le dossier Démarrage
du Menu Démarrer sous le nom SETUP.EXE
afin d'être exécuté à
chaque lancement de Windows, puis il s'envoie
automatiquement à toutes les adresses
emails présentes dans le carnet d'adresses
Windows et dans les messages des dossiers Outlook
Express (.DBX) grâce à son propre
serveur SMTP.
Frethem.E
n'est pas destructif, mais tente de se connecter
à plusieurs dizaines de sites web, probablement
publicitaires. Pour s'en préserver, il
faut s'assurer être à jour dans
ses correctifs de sécurité et
le cas échéant supprimer le mail
à son arrivée dans la boîte
de réception sans ouvrir le fichier joint.
|
