Visualizzazione dei risultati da 1 a 7 su 7

Discussione: [News] Worm Frethem.E

  1. #1

    [News] Worm Frethem.E

    E' in rete e in sviluppo un nuovo worm, il WORM_FRETHEM.E.
    Si propaga tramite Outlook e la sua rubrica.
    Arriva in email come allegato.
    E' stato creato in Microsoft Visual C++.
    Una volta lanciato si copia in Setup.exe e si mette in autorun tramite la chiave di registro apposita per essere eseguito ad ogni riavvio di sistema.
    Il worm ha un proprio motore Smtp per la spedizione di se stesso ad altri utenti.
    Il worm si connette inoltre ad alcuni siti web dove spedisce alcuni dati.

    Come prima azione bisogna terminare il programma attraverso il Task Manager.
    Cercare Setup o Setup.exe e chiuderlo.
    Riaprire il Task Manager per controllare di aver chiuso il programma del worm.
    Quindi eliminare il file.
    E' disponibile già la scansione on line su Trend Micro.
    Ovviamente è indispensabile aggiornare i propri software Antivirus.

    Font: Trend Micro.

    Topolin, Topolin, viva Topolin!

  2. #2
    grazie per la segnalazione
    unreal, l'essere immortale

  3. #3
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Altre presenze che possono confermare la presenza di questo worm sono i files %WinDir%\status.ini %WinDir%\Win64.ini . Nelle e-mail infette possiamo trovare i seguenti allegati: decrypt-password.exe (35.840 byte) password.txt (31 byte) e questa è la lista dei siti dove il worm rimanda la macchina infetta: ho omesso volontariamente le ultime cifre degli indirizzi.
    http://12.224.134...../b.cgi
    http://12.224.7...../b.cgi
    http://12.225.109...../b.cgi
    http://12.226.37...../b.cgi
    http://12.88.91...../b.cgi
    http://137.204.230...../b.cgi
    http://144.139.125...../b.cgi
    http://198.142.106...../b.cgi
    http://202.189.226...../b.cgi
    http://213.122.216...../b.cgi
    http://216.143.56...../b.cgi
    http://24.112.73...../b.cgi
    http://24.125.113...../b.cgi
    http://24.148.20...../b.cgi
    http://24.153.41...../b.cgi
    http://24.159.11...../b.cgi
    http://24.190.219...../b.cgi
    http://24.192.28...../b.cgi
    http://24.198.18...../b.cgi
    http://24.24.8...../b.cgi
    http://24.31.108...../b.cgi
    http://24.31.93...../b.cgi
    http://24.44.189...../b.cgi
    http://24.52.63...../b.cgi
    http://24.61.169...../b.cgi
    http://24.67.234...../b.cgi
    http://24.81.193...../b.cgi
    http://24.84.69...../b.cgi
    http://4.47.166...../b.cgi
    http://62.194.172...../b.cgi
    http://62.61.140...../b.cgi
    http://62.64.231...../b.cgi
    http://65.16.55...../b.cgi
    http://65.27.233...../b.cgi
    http://65.29.240...../b.cgi
    http://65.32.45...../b.cgi
    http://66.176.166...../b.cgi
    http://66.26.6...../b.cgi
    http://66.31.193...../b.cgi
    http://66.66.51...../b.cgi
    http://66.91.64...../b.cgi
    http://68.100.32...../b.cgi
    http://68.35.125...../b.cgi
    http://68.38.178...../b.cgi
    http://68.46.26...../b.cgi
    http://68.49.73...../b.cgi
    http://68.54.50...../b.cgi
    http://68.63.64...../b.cgi
    http://68.67.198...../b.cgi
    http://68.97.35...../b.cgi
    Marco(amvinfe)
    ==
    Visita il mio blog SuspectFile.com
    ==

  4. #4
    Martin BK
    Guest
    le caratteristiche della mail che Frethem invia sono queste:

    Subject: Re: Your password!

    Message:
    ATTENTION!

    You can access
    very important
    information by
    this password

    DO NOT SAVE
    password to disk
    use your mind

    now press
    cancel

    Attachments:
    Decrypt-password.exe
    Password.txt

  5. #5
    ma per essere pericolosa l'allegato deve essere aperto o parte tutto in automatico sfruttando qualche bug di outlook???
    unreal, l'essere immortale

  6. #6
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Purtroppo, la possibilità d'infettarsi con la sola anteprima del messaggio c'è. Ma aggiornando l'Antivirus con le ultime impronte virali, le possibilità sono nulle. Attenzione alle varianti del worm, stando a ciò che hanno scoperto il virus ha origini Africane. Queste le varianti:
    W32/FRETHEM.B@MM
    W32/FRETHEM.C@MM
    W32/FRETHEM.D@MM
    W32/FRETHEM.E@MM
    W32/FRETHEM.F@MM
    W32/FRETHEM.G@MM
    W32/FRETHEM.H@MM
    Marco(amvinfe)
    ==
    Visita il mio blog SuspectFile.com
    ==

  7. #7
    grazie per tutte le informazioni.
    Ciauz
    unreal, l'essere immortale

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.