Skoči na vsebino

SI-CERT 2002-03 / Črv Frethem

15. 7. 2002 popoldne se je preko slovenskih poštnih strežnikov začel širiti internetni črv Frethem (variante E, G, K in L). Črv se razpošilja preko elektronske pošte na naslove, ki jih zbere iz imenikov in elektronskih sporočil na okuženem računalniku. Naslov pošiljatelja zamenja z enim od tako nabranih naslovov.

Opis

Črv Frethem se širi z elektronskim pismom z naslovom "Re: Your password!", ki ima pripeti datoteki Decrypt-password.exe in Password.txt. Črv izkorišča IFRAME in MIME luknji. Slednja omogoča zagon črva pri predogledu pošte.

Črv se na računalnik namesti kot Taskbar.exe v direktorij C:Windows oz. C:WinNT. V register doda vrednost

Task Bar	C:WindowsTaskbar.exe

ključu

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 

Črv nabere poštne naslove iz imenika (MS Windows Address Book) in datotek s podaljški .dbx, .wab, .mbx, .eml, ter .mdb in svoje kopije razpošlje na nabrane naslove. Po nekajurnem čakanju se črv namesti tudi v datoteko

C:WindowsAll UsersStart MenuProgramsStartupSetup.exe

Rešitev

Za končne uporabnike 

Poskrbite, da boste imeli nameščeno zadnjo različico protivirusnega programa z najnovejšimi definicijami virusov. Preverite in po potrebi odstranite vrednost Task Bar v zgoraj navedenem ključu Windows registra. Namestite popravke preko Windows Update.

Za upravljalce poštnih strežnikov

Upravljalci poštnih strežnikov lahko zavrnejo pošto, ki v glavi sporočila vsebuje niz

boundary=L1db82sd319dm2ns0f4383dhG

Povezave

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več