ウイルス情報

ウイルス名 危険度

W32/Frethem.k@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4208
対応定義ファイル
(現在必要とされるバージョン)
4238 (現在7634)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Frethem.J@mm (Symantec),W32/Frethem.gen@MM (NAI),WORM_FRETHEM.J (TrendMicro)
情報掲載日 02/07/15
発見日(米国日付) 02/07/12
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • 4208以上の定義ファイルで圧縮ファイルをスキャンするとW32/Frethem.gen@MMとして検出されます。
  • 定義ファイルヴァージョン4212で、W32/Frethem.k@MMとして検出されます。
  • この大量送信ウイルスは、Microsoft Outlook Expressメールボックスファイル(.DBXファイル)、Windowsアドレス帳(.WABファイル)、.MBX、.EML、MDBファイルから、メールアドレスを収集し、自身と以下のようなメッセージをSMTPで送信します。
    件名Re: Your password!
    本文ATTENTION!

    You can access
    very important
    information by
    this password

    DO NOT SAVE
    password to disk
    use your mind

    now press
    cancel

    添付ファイル Decrypt-password.exe
    Password.txt
  • このウイルスは、Microsoft Internet Explorer(ver5.01または5.5でSP2なし)の不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020) の脆弱性を利用して、添付ファイルとしてついてきたウイルスを自動的に実行させることによって繁殖します。
  • その実行ファイルは、%WinDir%ディレクトリに自身をコピーし、Windowsが起動されるたびに読み込まれるようにregistry run keyを以下のように作成します。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Task Bar=C:\Windows\Taskbar.exe
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Task Bar=C:\Windows\Taskbar.exe
  • Internet Account ManagerからSMTPサーバー、SMTPメールアドレス、SMTP表示名を収集します。
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001
  • この情報は、ウイルスが繁殖ルーチンを実行するために利用されます。
  • このウイルスは、Inetnet Explorer をフックして、さまざまな Web サイトに要求を送信します。
    • http://12.224.160.208/b.cgi
    • http://12.225.239.153/b.cgi
    • http://12.252.211.170/b.cgi
    • http://128.173.231.167/b.cgi
    • http://129.120.117.218/b.cgi
    • http://140.158.208.167/b.cgi
    • http://143.111.86.30/b.cgi
    • http://147.26.215.144/b.cgi
    • http://170.11.31.35/b.cgi
    • http://207.171.103.126/b.cgi
    • http://209.192.135.22/b.cgi
    • http://213.190.55.222/b.cgi
    • http://24.138.42.1/b.cgi
    • http://24.153.41.186/b.cgi
    • http://24.157.108.78/b.cgi
    • http://24.159.28.120/b.cgi
    • http://24.24.128.16/b.cgi
    • http://24.242.106.163/b.cgi
    • http://24.91.146.67/b.cgi
    • http://24.91.187.71/b.cgi
    • http://4.47.227.27/b.cgi
    • http://63.231.167.66/b.cgi
    • http://63.71.246.234/b.cgi
    • http://64.211.174.43/b.cgi
    • http://65.25.12.45/b.cgi
    • http://66.31.193.42/b.cgi
    • http://66.31.93.30/b.cgi
    • http://66.68.22.102/b.cgi
    • http://68.35.125.130/b.cgi
    • http://68.42.253.163/b.cgi
    • http://68.57.88.25/b.cgi

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • %WinDir%\Taskbar.exeファイルが存在する。
  • %WinDir%\Winstat.iniファイルが存在する。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

手動駆除方法

TOPへ戻る