Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 17/7/2002
Stigning i antal af rapporter om FRETHEM orm i forskellige versioner der udnytter kendte sårbarheder i MS Internet Explorer.FRETHEM.K, FRETHEM.O, FRETHEM.M og FRETHEM.N, som er blandt de mest almindelige varianter, er en orm, der udbreder sig ved, at sende sig selv som vedhæftet fil til en email som en intern mailagent sender til alle fundne emailadresser i adressebøger og arkiver på systemet. Emailen har følgende karakteristika:
Subject: Re: Your password!
Message Body:You can access
very important
information by
this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
Attachment: DECRYPT-PASSWORD.EXE
PASSWORD.TXT
Den prøver samtidig at udnytte en ældre kendt sårbarhed I MS Internet Explorer 5.0.1 og 5.5, for derved automatisk at eksekvere det vedhæftede program.
Ormen er af såkaldt ikke-destruktiv karakter, dvs. formålet med ormen er først og fremmest at udbrede sig selv. Dette kan til gengæld medføre Denial of Service lignende tilstande på belastede servere.
Indikationen for, at ormen har inficeret systemet er tilstedeværelsen af en fil, taskbar.exe, i Windows installationsbibliotek, typisk under C:\windows\ .
Løsning for Frethem.K og Frethem.M:
Først skal man sikre sig at virusen ikke er aktivt kørende. Dette gøres ved at åbne "joblisten" (Task Manager)
På Windows 9x/ME systemer, kan dette gøres ved at trykke CTRL+ALT+DELETE
På Windows NT/2000/XP systemer, tryk CTRL+SHIFT+ESC
Under kørende programmer, find Taskbar eller Taskbar.exe
Vælg programmet, og vælg "Afslut job"
Man kan sikre sig at programmet er afsluttet ved at genåbne joblisten.
Sådan sikrer man, at ormen ikke startes op igen:
Åben Registerings Editor. Vælg Start>Kør, skriv REGEDIT og tryk Enter.
Følgende sti skal findes:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Herunder skal værdiens navn og data slettes: "\Task Bar=C:\Windows\Taskbar.exe"
Følgende sti skal findes:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Herunder skal værdiens navn og data slettes: "Task Bar=C:\Windows\Taskbar.exe"
Genstart computeren.