“W32.Frethem.L@mm”的意思、由来-中文百科全书

基本信息

发现： 2002 年 7 月 15 日

更新： 2007 年 2 月 13 日 11:40:16 AM

别名： W32.Frethem.K@mm, I-Worm.Frethem.l [KAV], W32/Frethem.l@MM [McAfee], WORM_FRETHEM.K [Trend], W32/Frethem-Fam [Sophos], Win32.Frethem.K [CA], W32/Frethem.K [Panda], W32/Frethem.L [F-Prot]

类型: Worm

感染长度： 48,640 bytes

受感染的系统： Windows 2000, Windows 98, Windows Me, Windows NT, Windows XP

CVE 参考： CVE-2001-0154

病毒特征

该电子邮件具有下列特征：

主题：Re: Your password!

附件：Decrypt-password.exe and Password.txt

防护

* 病毒定义（每周 LiveUpdate™） 2002 年 7 月 15 日

* 病毒定义（智能更新程序） 2002 年 7 月 15 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Low

* 大规模发送电子邮件： Sends to email addresses found in the Windows Address Book and .dbx .wab, .mbx, .eml, and .mdb files.

分发

* 分发级别： High

* 电子邮件的主题： Re: Your password!

* 附件名称： Decrypt-password.exe , Password.txt

* 附件大小： 48,640 bytes

行为分析

执行此蠕虫时，它会执行下列操作：

将自身复制到文件 %windir%\\Taskbar.exe

注意：%Windows% 是一个变量。蠕虫会找到 Windows 主安装文件夹（默认位置是 C:\\Windows 或 C:\\Winnt），然后将自身复制到该位置。

然后，将自身配置为在启动 Windows 时启动，方法是将下列值：

Task Bar %windir%\\taskbar.exe

添加到注册表键：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

接着，蠕虫会从下列注册表键中获得计算机用户的 SMTP 服务器、电子邮件地址和 SMTP 服务器的名称：

HKEY_CURRENT_USER\\Software\\Microsoft\\

Internet Account Manager\\Accounts\\00000001\\SMTP Server

HKEY_CURRENT_USER\\Software\\Microsoft\\

Internet Account Manager\\Accounts\\00000001\\SMTP Email Address

HKEY_CURRENT_USER\\Software\\Microsoft\\

Internet Account Manager\\Accounts\\00000001\\SMTP Display Name

然后，蠕虫会从 Microsoft Windows 地址簿以及 .dbx、.wab、.mbx、.eml 和 .mdb 文件中获得电子邮件地址，并将自身发送到这些地址。该电子邮件具有下列特征：

主题：Re: Your password!

正文：

ATTENTION!

You can access

very important

information by

this password

DO NOT SAVE

password to disk

use your mind

now press

cancel

附件：

Decrypt-password.exe

Password.txt

注意：附件 Decrypt-password.exe 是蠕虫的副本，是用 UPX 和 PE-Pack 打包的，大小约为 48 KB。第二个附件 Password.txt, 是一个文本文件，其长度约为 93 个字节。Password.txt 本身并不带毒，因此 Symantec 防病毒产品不会检测到该文件。但是，如果计算机感染了 W32.Frethem.K@mm 蠕虫，应该手动删除该文件。

蠕虫通过电子邮件到达目标计算机后，会利用 IFRAME 漏洞和 MIME 漏洞。通过这些漏洞，可以在读取甚至是在预览文件时执行病毒。有关 MIME 漏洞的信息和修补程序，请访问：http://www.microsoft.com/technet/security/bulletin/MS01- 020.asp。

蠕虫还会创建“IEXPLORE_MUTEX_AABBCCDDEEFF”互斥。此互斥仅允许在内存中执行一个蠕虫实例。

休眠数小时之后，蠕虫会将自身复制到 C:\\Windows\\All Users\\Start Menu\\Programs\\Startup\\Setup.exe，这样，每次启动 Windows 时都会执行此蠕虫。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

注意：以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

1. 更新病毒定义，运行完整的系统扫描。删除所有被检测为 W32.Frethem.K@mm 的文件。

2. 删除下列值

Task Bar

该值位于注册表键

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

有关如何完成此操作的详细信息，请参阅下列指导。

清除

1. 获得最新的病毒定义。可通过两种方法获得：

o 运行 LiveUpdate，这是获得病毒定义最简便的方法。这些病毒定义经过 Symantec 安全响应中心的全面质量监控检测，如果未遇重大病毒爆发情况，会每周在 LiveUpdate 服务器上发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部的病毒定义 (LiveUpdate) 行。

o 使用“智能更新程序”下载病毒定义，“智能更新程序”病毒定义已经过 Symantec 安全响应中心的全面质量监控检测，会在工作日（周一至周五，美国时间）发布。必须从 Symantec 安全响应中心 Web 站点下载病毒定义，并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）行。

“智能更新程序” 病毒定义可从此处获得。有关如何从 Symantec 安全响应中心 Web 站点下载和安装“智能更新程序”病毒定义的详细指导，请单击此处。

2. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

o Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

o Symantec 企业版防病毒产品：请阅读文档：如何确定 Symantec 企业版防病毒产品是否已设置为扫描所有文件。

3. 运行完整的系统扫描。

4. 删除所有被检测为 W32.Frethem.K@mm 的文件。

注意：如果 NAV 报告不能删除受感染文件，必须关闭计算机，关掉电源，等待 30 秒。然后以安全模式重新启动计算机，并再次运行扫描。除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导，请参阅文档：如何以安全模式启动计算机（英文）。

从注册表删除值：

警告：Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改，可能导致永久性数据丢失或文件损坏。请只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。出现“运行”对话框。

2. 键入 regedit，然后单击“确定”。“注册表编辑器”打开。

3. 导航至下列键：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中，删除下列值：

Task Bar

5. 单击“注册表”，然后单击“退出”。

6.描述者： Douglas Knowles

词条	W32.Frethem.L@mm
释义	W32.Frethem.K@mm 是一种蠕虫，是 W32.Frethem.B@mm 的一个变种。此蠕虫使用自己的 SMTP 引擎将自身发送到在 Microsoft Windows 通讯簿以及 .dbx、.wab、.mbx、.eml 和 .mdb 文件中找到的电子邮件地址。基本信息病毒特征防护威胁评估(广度损坏分发) 行为分析建议清除基本信息发现： 2002 年 7 月 15 日更新： 2007 年 2 月 13 日 11:40:16 AM 别名： W32.Frethem.K@mm, I-Worm.Frethem.l [KAV], W32/Frethem.l@MM [McAfee], WORM_FRETHEM.K [Trend], W32/Frethem-Fam [Sophos], Win32.Frethem.K [CA], W32/Frethem.K [Panda], W32/Frethem.L [F-Prot] 类型: Worm 感染长度： 48,640 bytes 受感染的系统： Windows 2000, Windows 98, Windows Me, Windows NT, Windows XP CVE 参考： CVE-2001-0154 病毒特征该电子邮件具有下列特征：主题：Re: Your password! 附件：Decrypt-password.exe and Password.txt 防护 * 病毒定义（每周 LiveUpdate™） 2002 年 7 月 15 日 * 病毒定义（智能更新程序） 2002 年 7 月 15 日威胁评估广度 * 广度级别： Low * 感染数量： More than 1000 * 站点数量： More than 10 * 地理位置分布： Medium * 威胁抑制： Easy * 清除： Moderate 损坏 * 损坏级别： Low * 大规模发送电子邮件： Sends to email addresses found in the Windows Address Book and .dbx .wab, .mbx, .eml, and .mdb files. 分发 * 分发级别： High * 电子邮件的主题： Re: Your password! * 附件名称： Decrypt-password.exe , Password.txt * 附件大小： 48,640 bytes 行为分析执行此蠕虫时，它会执行下列操作：将自身复制到文件 %windir%\\Taskbar.exe 注意：%Windows% 是一个变量。蠕虫会找到 Windows 主安装文件夹（默认位置是 C:\\Windows 或 C:\\Winnt），然后将自身复制到该位置。然后，将自身配置为在启动 Windows 时启动，方法是将下列值： Task Bar %windir%\\taskbar.exe 添加到注册表键： HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 接着，蠕虫会从下列注册表键中获得计算机用户的 SMTP 服务器、电子邮件地址和 SMTP 服务器的名称： HKEY_CURRENT_USER\\Software\\Microsoft\\ Internet Account Manager\\Accounts\\00000001\\SMTP Server HKEY_CURRENT_USER\\Software\\Microsoft\\ Internet Account Manager\\Accounts\\00000001\\SMTP Email Address HKEY_CURRENT_USER\\Software\\Microsoft\\ Internet Account Manager\\Accounts\\00000001\\SMTP Display Name 然后，蠕虫会从 Microsoft Windows 地址簿以及 .dbx、.wab、.mbx、.eml 和 .mdb 文件中获得电子邮件地址，并将自身发送到这些地址。该电子邮件具有下列特征：主题：Re: Your password! 正文： ATTENTION! You can access very important information by this password DO NOT SAVE password to disk use your mind now press cancel 附件： Decrypt-password.exe Password.txt 注意：附件 Decrypt-password.exe 是蠕虫的副本，是用 UPX 和 PE-Pack 打包的，大小约为 48 KB。第二个附件 Password.txt, 是一个文本文件，其长度约为 93 个字节。Password.txt 本身并不带毒，因此 Symantec 防病毒产品不会检测到该文件。但是，如果计算机感染了 W32.Frethem.K@mm 蠕虫，应该手动删除该文件。蠕虫通过电子邮件到达目标计算机后，会利用 IFRAME 漏洞和 MIME 漏洞。通过这些漏洞，可以在读取甚至是在预览文件时执行病毒。有关 MIME 漏洞的信息和修补程序，请访问：http://www.microsoft.com/technet/security/bulletin/MS01- 020.asp。蠕虫还会创建“IEXPLORE_MUTEX_AABBCCDDEEFF”互斥。此互斥仅允许在内存中执行一个蠕虫实例。休眠数小时之后，蠕虫会将自身复制到 C:\\Windows\\All Users\\Start Menu\\Programs\\Startup\\Setup.exe，这样，每次启动 Windows 时都会执行此蠕虫。建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”： * 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。 * 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。 * 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。注意：以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。 1. 更新病毒定义，运行完整的系统扫描。删除所有被检测为 W32.Frethem.K@mm 的文件。 2. 删除下列值 Task Bar 该值位于注册表键 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 有关如何完成此操作的详细信息，请参阅下列指导。清除 1. 获得最新的病毒定义。可通过两种方法获得： o 运行 LiveUpdate，这是获得病毒定义最简便的方法。这些病毒定义经过 Symantec 安全响应中心的全面质量监控检测，如果未遇重大病毒爆发情况，会每周在 LiveUpdate 服务器上发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部的病毒定义 (LiveUpdate) 行。 o 使用“智能更新程序”下载病毒定义，“智能更新程序”病毒定义已经过 Symantec 安全响应中心的全面质量监控检测，会在工作日（周一至周五，美国时间）发布。必须从 Symantec 安全响应中心 Web 站点下载病毒定义，并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）行。 “智能更新程序” 病毒定义可从此处获得。有关如何从 Symantec 安全响应中心 Web 站点下载和安装“智能更新程序”病毒定义的详细指导，请单击此处。 2. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。 o Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。 o Symantec 企业版防病毒产品：请阅读文档：如何确定 Symantec 企业版防病毒产品是否已设置为扫描所有文件。 3. 运行完整的系统扫描。 4. 删除所有被检测为 W32.Frethem.K@mm 的文件。注意：如果 NAV 报告不能删除受感染文件，必须关闭计算机，关掉电源，等待 30 秒。然后以安全模式重新启动计算机，并再次运行扫描。除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导，请参阅文档：如何以安全模式启动计算机（英文）。从注册表删除值：警告：Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改，可能导致永久性数据丢失或文件损坏。请只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。 1. 单击“开始”，然后单击“运行”。出现“运行”对话框。 2. 键入 regedit，然后单击“确定”。“注册表编辑器”打开。 3. 导航至下列键： HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 4. 在右窗格中，删除下列值： Task Bar 5. 单击“注册表”，然后单击“退出”。 6.描述者： Douglas Knowles
随便看	英语高级写作：论说文入门英语高级写作论说文入门英语高考常见错误手册英语高考词汇每周一练英语高考复习教程英语高频话题：流行生活英语高手：高中课文释译英语高手中考语法考点详解英语高职入学考试复习指导英语高中起点升本、专科最新版英语革命·英语发音革命：概述篇英语各类口音听译突破英语公共演讲技巧英语公众讲演技巧英语沟通高手英语关键词循环速记英语关键力：10步写出好英文英语关键力：关键句型篇英语惯用法词典英语惯用法词典（新修订本简体字重排本）英语惯用语词典英语惯用语大词典英语惯用语终结者英语广播听力教程：上册（教师用书）英语广播听力教程：下册