Frethem.K, gusano que infecta al visualizar el mensaje, amenaza saturar servidor


W32/Frethem.K@MM, I.worm.Frethem.K@mm

Frethem.K es un gusano reportado el 15 de Julio del 2002, variante del Frethem.J, de difusión masiva, vía correo electrónico a través de mensajes con dos archivos anexados de nombres Decrypt-password.exe y Password.txt, los cuales tienen una extensión de 48 y 93 KB, respectivamente.





El gusano posee su propio SMTP (Simple Mail Transfer Protocol) que incluye al protocolo POP (Post Office Protocol) y se auto-envía a todos los contactos del sistema infectado, haciendo uso de la Libreta de Direcciones de Windows (WAB) y los archivos que contienen las direcciones de correo de MS-Outlook y Outlook Express.

Este gusano busca la vulnerabilidad denominada Iframe exploit, y MIME exploit que permiten que el archivo infectado se ejecute con tan solo leer el mensaje bajo la opción de vista previa. Los sistemas afectables, en el caso de que el usuario no haya actualizado las correciones, son:

Microsoft Internet Explorer 5 para Windows 98
Microsoft Internet Explorer 5 para Windows 95
Microsoft Internet Explorer 5 para Windows NT 4.0
(Vulnerabilidad corregida en Internet Explorer 6x)

La vulnerabilidad del protocolo MIME (Multipurpose Internet Mail Extensions) consite, en el caso que MS Outlook esté configurado con la opción de "Mostar panel de vista previa" activada, y consecuentemente será suficiente visualizar el mensaje, sin necesidad de ejecutar el archivo anexado, para infectar el sistema:

Para evitar este tipo de infecciones se debe deshabilitar la opción "Mostar panel de vista previa":

El parche para tanto el IFRAME exploit y el MIME exploit debe ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Al hacer click en el archivo infectado, el gusano se copia al directorio %Windows%taskbar.exe para ejecutarse la próxima que se inicie el sistema, moficando la llave de registro:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
task bar = "%Windows%taskbar.exe"

%windows% es una variable que por defecto es C:Windows o C:Winnt.

El gusano también toma el control del servidor SMTP (Send Mail Transfer Protocol) por defecto, del sistema infectado y de las direcciones de correo, a partir de las siguientes llaves de registro:

[HKEY_CURRENT_USERSoftwareMicrosoft]
Internet Account ManagerAccounts

Otras noticias de interés:

Último parche de Microsoft: ¿Sufriremos otro Blaster?
El día 23 Microsoft publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Avisó con un día de antelac...
Firefox 2.0.0.10 corrige tres vulnerabilidades
Se ha publicado una nueva versión de Firefox, que corrige al menos tres vulnerabilidades, todas ellas clasificadas con un nivel de impacto Alto. ...
Buenas prácticas para la protección en la nube
El crecimiento exponencial de los servicios basados en cloud computing también arroja algunos riesgos que las compañías deben evitar para mantener sus datos e identidades a salvo....
Troyano espía las llamadas de Skype
La empresa de seguridad Symantec, ha reportado la detección de nuevo troyano diseñado para atacar a los usuarios del cliente VoIP Skype. Pero contrario a lo que se podría pensar, no se dedica a robar las contraseñas de los usuarios o algo similar...
Un EstadoUnidense detenido por atacar la web de Al-Jazeera
Un norteamericano de Los Angeles fue declarado culpable el pasado jueves por llevar a cabo varios ataques a la web de Al Jazeera durante la pasada guerra de Irak. Al parecer, los ataques tuvieron lugar a raíz de que la cadena por satélite árabe mo...
Debian y Linux dicen no, por el momento, al sistema Anti-spam de Microsoft
La fundación Apache, grupo de desarrollo open Source, ha rechazado apoyar el sistema anti-spam propuesto por Microsoft ( anti-spam Sender ID) al considerar que las condiciones de licencia que se ofrecen son demasiado restrictivas. ...
Vulnerabilidad en Novell Netware
Recientemente se ha identificado una vulnerabilidad en Novell Netware 6.5 por la que un atacante remoto podría causar un ataque de denegación de servicio (DoS). El problema está relacionado con un error en XNFS.NLM, que es el demoni...
Siete tendencias que cambian el concepto de informática empresarial
ITMadrid acaba de dar a conocer los resultados de un estudio en el que ha analizado cuáles son las siete tendencias clave que están cambiando el concepto de informática empresarial. Entre ellas se encuentran Green IT, SaaS y cloud computing, gobie...
Error en Facebook permite apropiarse de páginas
Expertos en seguridad han descubierto que es asombrosamente fácil que un usuario con privilegios de administrador expulse al creador de una página de Facebook y se haga con su total control debido a un fallo de seguridad en el sistema....
Vulnerabilidad SQL Injection en PostNuke
Pokleyzz ha divulgado dos vulnerabilidades en PostNuke, en la cual se puede hacer SQL Injection cpor personas maiciosas. La parámetro INPUT del sif en modules/NS-Comments/index.php no verifica correctamente antes de que se use el QUERY ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • amenaza
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • frethem
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • infecta
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mensaje
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • saturar
  • seguridad
  • servidor
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • visualizar
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra