Frethem.K: Neuer Wurm surft und mailt

Antiviren-Hersteller TrendMicro warnt vor dem Wurm Frethem.K. Der Massen-Mailer ist eine speicherresidente Variante des Wurms Frethem.D und nutzt eine bekannte Lücke im Internet Explorer 5.01 und 5.5 aus.

Dem Wurm genügt es, wenn Benutzer die Vorschaufunktion in Outlook und Outlook Express aktivieren, um die Installationsroutine zu starten. Ein ungepatchter Internet Explorer mit bekannter MIME-Header-Lücke ist dafür laut TrendMicro Voraussetzung.

Um den Benutzer zu verführen, kündigt der Wurm im Subject der Mail ein Passwort an: "Re: Your Password". Die Datei im Attachment heißt Decrypt-Password.EXE und sollte schon durch die EXE-Endung Misstrauen auslösen. Weiterhin steckt eine TXT-Datei im Anhang, die ein vermeintliches Passwort enthält: "Your password is W8dqwq8q918213".

Nach dem Ausführen des Anhangs sind diverse Registry-Einträge erstellt und geändert, und der Wurm versucht über eine eigene SMTP-Engine, die Verbreitung zu starten. Das massenhafte Verschicken ist auf den ersten Blick die einzige Schadensfunktion, die Frethem.K mitbringt. Allerdings versucht der Wurm, nach der Installation Kontakt mit einer ganzen Liste von Webseiten aufzunehmen, die TrendMicro hier aufführt. Die im Code enthaltenen Adressen verweisen jeweils auf Webseiten mit CGI-Scripts. TrendMicro vermutet, dass dadurch Traffic auf den entsprechenden Seiten erzeugt werden soll.

Der Autor des Wurms will anscheinend mit einem Text-String, der im Code enthalten ist, die vermeintliche Harmlosigkeit seines Machwerks belegen:

"thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE idEA! nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE happy".

TrendMicro und die anderen Antiviren-Hersteller bieten aktuelle Signaturen an, um den Wurm unschädlich zu machen. Benutzern der betroffenen Versionen des Internet Explorer ist außerdem anzuraten, den Browser zu patchen. Aktuelle Informationen zu den neuen Schädlingen finden Sie zusätzlich im tecCHANNEL-Virenticker. (uba)