Update: Frethem.K surft, mailt, spioniert

Die Analyse des Wurms Frethem.K durch die Antiviren-Hersteller hat eine bedenkliche Schadensroutine zu Tage gebracht. Der Wurm nimmt bekanntermaßen Kontakt zu Webseiten auf, dass er von dort Programme herunterlädt, ist neu.

Kaspersky Labs hat die gefährliche Backdoor-Routine des Wurms den Varianten Frethem.K und L zugeordnet. Über fest codierte URLs nimmt der Schädling Kontakt zu Webseiten auf. Dass der Wurm diese Eigenschaft nur zum Erzeugen von Traffic mit sich bringt, wie gestern berichtet, scheint nach der Analyse von Kaspersky ein Trugschluss zu sein. Stattdessen lädt der Wurm von den zufällig angesteuerten Adressen eine bestimmte Datei herunter und führt sie aus. Je nach Variante hat Frethem zwischen 10 und 50 dieser fest codierten Adressen im Gepäck.

Über diese Hintertür führt Frethem wahlweise Befehle aus, die in der Datei stecken, oder er lädt weitere (EXE-) Dateien herunter und führt sie aus. Bei aktivierter Backdoor-Funktion erzeuge der Wurm die Dateien STATUS.INI und WIN64.INI, berichtet Kaspersky Labs in seiner Analyse der Frethem-Familie. Die Liste von Webseiten, die der Wurm kontaktiert, führt TrendMicro hier auf. Die im Code enthaltenen Adressen verweisen jeweils auf Webseiten mit CGI-Scripts.

Frethem.K ist laut TrendMicro eine speicherresidente Variante des Wurms Frethem.D. Er nutzt, wie die restliche Frethem-Familie eine seit langem bekannte Lücke im Internet Explorer 5.01 und 5.5 aus. Dem Wurm genügt es, wenn Benutzer die Vorschaufunktion in Outlook und Outlook Express aktivieren, um die Installationsroutine zu starten. Ein ungepatchter Internet Explorer mit bekannter iFrame/MIME-Header-Lücke ist dafür laut TrendMicro Voraussetzung.

Um den Benutzer zu verführen, kündigt der Wurm im Subject der Mail ein Passwort an: "Re: Your Password". Die Datei im Attachment heißt Decrypt-Password.EXE und sollte schon durch die EXE-Endung Misstrauen auslösen. Weiterhin steckt eine TXT-Datei im Anhang, die ein vermeintliches Passwort enthält: "Your password is W8dqwq8q918213".

Nach dem Ausführen des Anhangs sind diverse Registry-Einträge erstellt und geändert, und der Wurm versucht über eine eigene SMTP-Engine, die Verbreitung zu starten. TrendMicro vermutet, dass dadurch Traffic auf den entsprechenden Seiten erzeugt werden soll.

Der Autor des Wurms will anscheinend mit einem Text-String, der im Code enthalten ist, die vermeintliche Harmlosigkeit seines Machwerks belegen:

"thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE idEA! nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE happy".

TrendMicro und die anderen Antiviren-Hersteller bieten aktuelle Signaturen an, um den Wurm unschädlich zu machen. Benutzern der betroffenen Versionen des Internet Explorer ist außerdem dringend anzuraten, den Browser zu patchen. Aktuelle Informationen zu den neuen Schädlingen finden Sie zusätzlich im tecCHANNEL-Virenticker. (uba)