Hemeroteca

Avanzan Frethem.J y .K, dos variantes de un gusano capaz de autoejecutarse

Agencias

Actualizada: 16/07/2002

Emplean técnicas de "Ingeniería Social", simulando contener un password para acceder a información importante. Se están extendiendo a mayor velocidad de la esperada en un principio.

Panda Software ha informado de la aparición de Frethem.J, un nuevo gusano de correo electrónico que tiene como característica principal la capacidad de autoejecutarse simplemente con la vista previa del mensaje de correo electrónico en que llega incluido. Para ello, se aprovecha de una conocida vulnerabilidad de las versiones 5.01 y 5.5 del navegador Microsoft Internet Explorer. Frethem.J llega al equipo en un mensaje de correo electrónico que lleva por asunto "Re: Your password!", mientras que en el cuerpo del mensaje aparece el texto: ATTENTION! You can access very important information by this password DO NOT SAVE password to disk use your mind now press cancel Además, el mensaje adjunta dos archivos con los nombres password.txt y decrypt-password.exe. Éste último, en realidad, contiene a Frethem.J. Si el fichero es ejecutado, bien de forma automática, debido a la vulnerabilidad antes mencionada, o bien porque el usuario haga click sobre él, Frethem.J quedará residente en el equipo y será visible en el administrador de tareas con el nombre taskbar. En ese momento, Frethem.J obtendrá, a partir del registro de Windows y de la base de datos de Outlook Express, información sobre las cuentas de correo a las que se reenviará. Además, buscará información sobre el servidor de correo que el usuario emplee habitualmente con el fin de crear una conexión directa con el mismo. De esta forma, el usuario no podrá detectar el envío de mensajes infectados desde su equipo. Finalmente, Frethem.J crea una entrada en el registro de Windows con el fin de asegurar su ejecución cada vez que se reinicie el ordenador. Pese a que la red internacional de Soporte Técnico de Panda Software aún no ha detectado incidencias causadas por este gusano, no se descarta que, por las características de Frethem.J, puedan comenzar a producirse en las próximas horas. Por ello, la multinacional española aconseja no bajar la guardia y extremar las precauciones con cualquier mensaje de correo electrónico recibido. En cualquier caso, Panda Software ya ha puesto a disposición de los usuarios la correspondiente actualización de sus antivirus para la detección y eliminación de Frethem.J, que puede ser descargada desde PandaSoftware.es. Además, ha publicado información técnica detallada en la Enciclopedia de Virus de Panda Software, en esta dirección, donde también se incluyen las instrucciones necesarias para detectar la presencia del gusano en el equipo, así como para eliminarlo y protegerse de sus acciones. Por otra parte, es aconsejable instalar el parche proporcionado por la compañía Microsoft que corrige la vulnerabilidad que el virus utiliza para autoejecutarse. El mismo puede ser descargado desde esta dirección. Asimismo, Panda detectó ayer la extensión de una variante de este gusano, la K, aunque técnicamente, la única diferencia entre las variantes J y K de Frethem reside en el tamaño del fichero adjunto al mensaje de correo electrónico en que el gusano llega al equipo.