VSantivirus No. 738 - Año 6 - Lunes 15 de julio de 2002

VSantivirus No. 738 - Año 6 - Lunes 15 de julio de 2002

VSantivirus No. 738 - Año 6 - Lunes 15 de julio de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Crónica de un virus (Nueva versión del Frethem)
2 - Bound File Extractor: el primer anti-binder
3 - W32/Frethem.K/L. Asunto: Re: Your password!
_____________________________________________________________

1 - Crónica de un virus (Nueva versión del Frethem)
_____________________________________________________________

http://www.vsantivirus.com/15-07-02.htm

Crónica de un virus (Nueva versión del Frethem)

Por Jose Luis Lopez
videosoft@videosoft.net.uy

Hora: 4.30 Uruguay (7.30 am UTC)

Empiezo a recibir mensajes que claramente parecen infectados
por el W32/Fretehem. El asunto es "Re: Your password!", y los
adjuntos son "decrypt-password.exe" de 48,640 bytes y
"password.txt" de 31 bytes. Y no uno, sino dos. No, le doy
importancia porque es muy claro que se trata del Frethem, de
modo que sin más trámites lo paso a la carpeta de muestras
recibidas.

Hora: 5.10

Recién he bajado el correo nuevamente. Me sorprende
encontrarme con 6 muestras más del mismo mensaje recibido a
las 4.30, todos de remitentes diferentes, de modo que pruebo
a revisarlo con mis antivirus. Primer intento, el Nod32 que
mantengo en memoria, no me avisa. Mmmmm...

Hora: 5.15

Lo abro por medio de la red en otro PC que tengo para estos
casos, aunque por prevención, luego de la copia de los
mensajes infectados desconecto ese PC de la red.

Hora: 5.30

Más sorpresas...

Ni Kaspersky (AVP), ni McAfee, ni Norton, ni Sophos, que
mantengo actualizados, me dicen nada.

Hora: 5.43

Mando la muestra del virus a una lista de fabricantes de
Antivirus que reciben muestras. Los antivirus incluidos son:

Computer Associates (InoculateIT)
DialogueScience(Dr.Web)
Eset (NOD32)
Frisk Software (F-Prot)
F-Secure Corp.
Kaspersky Labs (AVP)
Network Associates (VirusScan)
Norman Data Defense
Panda Software
Per Systems
Sophos Plc.
Symantec (Norton)
The Hacker
Trend Micro (PCCillin)

Primeras respuestas, algunas instantáneas, y supongo
automáticas:

Hora 5.45: Kaspersky (AVP)

Dear Sirs,

***
IMPORTANT: This message has been generated by Kaspersky Lab's
express virus-check system. In case you have any further
questions, please send them directly to the company's
technical support service at support@kaspersky.com.

Comentarios: Respuesta automática, obviamente. Sin embargo,
aunque cronológicamente la ubico aquí por horario, en
realidad llegó a mi buzón después de una respuesta del propio
Kaspersky (ver más adelante).

Hora 5.46: Computer Associates

Dear Video Soft,
Thank you for emailing our antivirus support team.
We have successfully received the following files:
####################################################
id bytes name

1 49679 Re_ Your password!.zip
68206 Re_ Your password!.eml
31 unmimed3
48640 unmimed1
383 unmimed0

Comentarios: Nada interesante, solo una confirmación

Hora 5.47: Network Associates (VirusScan)

This is an autoreply based on a message received from you.

[...]

Comentarios: Claramente una respuesta automática. Sigue una
lista de consejos, pero nada sobre la muestra. Algo de que en
un plazo máximo de 48 horas... etc., etc....

Hora 5.48: Trend Micro (PCCillin)

InterScan Messaging Security Suite for SMTP notification

Comentarios: Trend Micro parece que bloqueó mi mensaje, o yo
cometí un error... :(

Hora 5.48: Computer Associates (InoculateIT)

Dear Video Soft,
This is to notify you of the results of the testing carried
out by the Virtue system on the files that you sent to us.
==========================================================
[...]
The analysis of the file submitted as
"Re_ Your password!.eml" has been completed.

The MIME Container file has been determined to be
malicious.

The file is infected by the HTML.MimeExploit virus.

Similar names (alias) reported by other AV products are
listed here:
(Exploit.IFrame.FileDownload)(Exploit-MIME.gen)
[...]
The ASCII Plain Text file has been determined to be clean.
A human researcher has analysed the file and found nothing
suspicious. Researcher comment:
This file is a message part, i.e. a forwarded e-mail
attached.
[...]
The Windows Portable Executable file has been determined to
be malicious.
An Antivirus researcher has analysed the file and confirmed
the findings.
The file has been identified as Win32.Frethem.K worm.
Researcher comment:
Win32.Frethem.K worm.
[...]
The HTML(active content) file has been determined to be
malicious.
The file is infected by the HTML.MimeExploit virus.
Similar names (alias) reported by other AV products are
listed here:
(Exploit.IFrame.FileDownload)
[...]

Comentarios: Primera sorpresa. Solo 13 minutos después de
enviada, recibo una descripción detallada de la muestra.

Hora 5.49: Symantec (Norton)

This message is an automatically generated reply.
[...]
Your submission has been received and is being processed.

Comentarios: Otra respuesta automática, solo una confirmación
de recepción de la muestra.

Hora 5.49: Network Associates (VirusScan) (segundo mensaje)

A.V.E.R.T. Sample Analysis
AVERT Labs - Beaverton, Oregon USA
Current Scan Engine Version: 4.1.60
Current DAT Version: 4211

Analysis ID: 237588
File Name: Re_ Your password!.eml
Scan Findings: Virus detected!
Virus Name: Exploit-MIME.gen

Thank you for your submissions.

Synopsis –

The file received is infected with the Exploit-MIME.gen
Virus. This threat can be identified and removed with our
current scan engine version 4.1.60 and current DAT file
version 4211.

[...]

Comentarios: Cuando examiné el mensaje original, la base de
datos era la 4211, sin embargo no detectó ningún virus. Esta
discrepancia puede ser por el hecho de que utilicé la versión
del antivirus gratuita para escanear. De todos modos, es la
segunda respuesta

Hora 5.55: Kaspersky Labs (AVP)

Hello,

that's new variant of Frethem worm.
It is added to next DAILY update (will be released in few
minutes).

Regards, Eugene
Kaspersky Lab
http://www.kaspersky.com
http://www.viruslist.com

Comentarios: Bueno, una respuesta humana evidentemente... :).
Pero eso no es todo...

Hora 6.02: Primera actualización disponible, Kaspersky (AVP)

Chequeo las actualizaciones del AVP, y a las 6.02 aparece un
nuevo DAILY que incluye estas variantes del virus: I-
Worm.Frethem.k, I-Worm.Frethem.l. ¡Primera solución en línea
de los antivirus que no identificaban esta variante, apenas
un poco más de 15 minutos después del aviso!

Hora 6.57: Primer aviso de la nueva versión del virus
(boletín de Kaspersky)

VirusList.com Virus Alerts & Virus News. Monday, July 15, 2002
******************************************************************

1. Danger! A New Version of The Internet-worm "Frethem'" Is Loose On
The Internet!
2. How to subscribe/unsubscribe

****

1. Danger! A New Version of The Internet-worm "Frethem'" Is Loose On
The Internet!
Kaspersky Labs, warns all computer users of a massive amount of
registered infections from a new modification of the Internet-worm
"Frethem". In the nearest possible time a more detailed description of
this malicious program and a special anti-virus database update will be
made available.

Information on the Frethem family of Internet-worms can be found in the
Kaspersky Virus Encyclopedia at:
http://www.viruslist.com/eng/viruslist.html?id=50644.

Comentarios: No deja de sorprenderme la celeridad en la
respuesta de Kaspersky, con boletín incluido.

Hora 7.00: Actualización de Nod32.

La actualización automática del Nod32 la tengo configurada
para que lo haga cada 60 minutos, y a las 6.00 no habían
reportes. A las 7.00 me informa que actualizó la base de
datos. Realizo un nuevo escaneo del mensaje y ahora Nod32 me
informa que hay un virus, el Frethem.L

Hora 7.08: Respuesta de Panda

Estimado cliente :

Acusamos recibo de su mail en el que nos incluye
ficheros sospechosos de estar infectados por virus.
Dicho envío ha sido recibido a las 10:43 del
15/07/2002. En estos momentos nos encontramos
estudiándolo y en breve recibirá una respuesta.

Sin otro particular, reciba un cordial saludo

Laboratorio de Investigación de Virus
mailto:virus@pandasoftware.es

Comentarios: La diferencia horaria con España, dice que la
muestra fue recibida a las 5.43 de Uruguay. La muestra fue
enviada a las 4.43. El mensaje llegó a mi buzón a las 7.08.

Hora 7.12: Actualización de Sophos.

Hora 8.28: Respuesta de F-Secure

Hello,
[...]
The e-mail you sent contains a sample of Frethem worm. Our
F-Secure Anti-Virus detects it with the latest updates. The
description of the worm is here:

http://www.europe.f-secure.com/v-descs/frethem.shtml

* Conclusiones

Supongo que en el transcurso de las horas recibiré nuevas
respuestas. Por lo pronto, la primera solución efectiva de
las que comenté al principio, es la de Kaspersky, la cuál no
solo me respondió en poco más de 10 minutos, sino que además
había una actualización disponible de su producto (un
DAILY.AVC) exactamente 19 minutos después de haber enviado la
muestra. Nod32 actualizó su base de datos por lo menos una
hora después de haber recibido la muestra, y también detecta
la nueva versión (Frethem.L).

Este es un resumen cronológico de las respuestas hasta el
momento (8.30):

4.30 - Primeros mensajes infectados, los ignoro
5.10 - Recibo una cantidad de mensajes iguales
5.15 - Examino los mensajes recibidos
5.30 - Llego a la conclusión de que a pesar de tener todas
las características del Frethem, no todos los AV lo
identifican.
5.43 - Envío la muestra a una lista de fabricantes de
antivirus.
5.45 - Primera respuesta automática (Kaspersky (AVP))
5.46 - Segunda respuesta automática (Computer Associates)
5.47 - Tercera respuesta automática (Network Associates
(VirusScan))
5.48 - Rechazo del mensaje de Trend Micro (PCCillin)
5.48 - Primer examen del virus (Computer Associates
(InoculateIT))
5.49 - Cuarta respuesta automática (Symantec (Norton))
5.49 - Segundo examen del virus (Network Associates
(VirusScan) (segundo mensaje)
5.55 - Primera respuesta "humana" del propio Kaspersky
(Kaspersky Labs (AVP))
6.02 - Primera actualización que reconoce el virus (Kaspersky
Labs (AVP)
6.57 - Primer aviso de la nueva versión del virus (boletín de
Kaspersky)
7.00 - Actualización automática del Nod32 reconoce el virus
como Frethem.L
7.08 - Respuesta de Panda
7.12 - Sophos actualiza su IDE con la nueva versión del
Frethem
8.28 - Respuesta de F-Secure

* Relacionados:

VSantivirus No. 738 - 15/jul/02
W32/Frethem.K/L. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-j.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Bound File Extractor: el primer anti-binder
_____________________________________________________________

http://www.vsantivirus.com/mr-anti-binder.htm

Bound File Extractor: el primer anti-binder

Por Marcos Rico (*)
marcos@videosoft.net.uy

En primer lugar quisiera aclarar a los lectores qué es un
Binder, antes de analizar el primer Anti-Binder de la
historia.

Un binder es un pequeño programa que fusiona dos o más
archivos. Hay otras denominaciones para este tipo de
programas: también se conocen con los nombres de Joiner,
Juntador, Trojan-Dropper, Dropper, etc.

En verdad los programadores de este tipo de software
distinguen entre el Binder y el Dropper. Este último necesita
de un compilador para su funcionamiento. En cambio las
compañías antivirus tienden a denominarlos como Droppers de
manera genérica.

El Binder no hace ningún daño per se. Es un programa
totalmente inofensivo cuya única misión es "juntar" archivos.
El antecedente más inmediato de estos programas se halla en
los llamados File Spliters.

Estos programas eran muy usados en la época previa a los CD-
ROM cuando todos teníamos disquetes y tenían (como bien
sabemos) una capacidad muy limitada.

La opción para almacenar programas muy extensos pasaba por
partir el archivo en varias partes y luego fusionarlas otra
vez en el ordenador para reconstruir el archivo.

El Binder se basa cabalmente en la tecnología de unión de
partes. La variación aportada aquí consiste en que el Binder
une archivos independientes. Los antivirus tienden a detectar
estos archivos como amenazas y algunos programadores discuten
mucho esto.

En realidad el asunto no ofrece mucha discusión. ¿Qué razón
práctica podemos aducir para justificar el uso de un Binder?.
Desde luego a mí no se me ocurre ninguna. Estos programas son
usados para engañar a las víctimas. Es un método muy usado
para infectar mediante el cebo de un programa atractivo para
la víctima. El Binder permite unir cualquier virus a
cualquier archivo.

El resultado siempre es un ejecutable que es perfectamente
funcional, es decir, tanto el virus como el programa cebo
funcionarán perfectamente una vez ejecutado el archivo
trampa.

Pero como en todo, hay Binders detectables y otros que no lo
son (al menos de momento). Conozco al menos dos de estos
programas que todavía pasan inadvertidos para los antivirus.
Además las compañías antivirus no suelen otorgarle mucha
importancia a estos productos y tardan más de lo recomendable
en ofrecer la vacuna para estos programas. Por ejemplo,
Juntador Beta (uno de los Binders más famosos) se llevó hasta
meses siendo indetectable para muchos antivirus.

Entiendo perfectamente que tengan prioridades sobre otras
amenazas más urgentes porque aunque no podamos detectar la
presencia de un Binder, una vez que se separan los
ejecutables es posible detener la infección con un buen
antivirus (pasa lo mismo que con los compresores; un
antivirus puede no reconocer un virus bajo un compresor, pero
una vez se inicie el proceso de descompresión previo a la
infección debe detenerlo).

Si tenemos mala suerte podemos encontrarnos ante un Binder
indetectable que también oculte un virus indetectable. Esto
nos traería muchos problemas. Para evitar este imponderable
un programador que responde al alias de MF4 (conocido
programador de virus y troyanos) ha programado en C++/WIN32
API el primer Anti-Binder de la historia.

Hasta hace poco los programadores de Binders aseguraban que
todo archivo fundido con su programa ya era irrecuperable en
su forma y tamaño original.

Como vemos, ese falso tópico se acaba de difuminar. Pero la
cosa no es tan fácil, ni tampoco el primer Anti-Binder de la
historia es perfecto. Aún es una versión beta y tiene sus
limitaciones: serias limitaciones, diría yo.

Bound File Extractor básicamente lo que hace es separar los
archivos fusionados por el Binder en sus respectivos
ejecutables. Imaginemos que fundimos dos ejecutables y al
final tenemos un único ejecutable. Si ahora usamos Bound File
Extractor sobre el ejecutable fusionado, éste debería ser
capaz de separar los dos ejecutables iniciales y luego ser
completamente funcionales.

Esto es sólo en teoría, porque en la práctica hay algunas
limitaciones.

Fundamentalmente son tres las limitaciones:

1. Las cabeceras MZ de los ejecutables no deben estar
encriptadas.

2. El archivo fundido no debe estar comprimido (en este caso
convendría descomprimirlo antes si es posible).

3. Todos los archivos fundidos deben ser ejecutables con
cabeceras MZ válidas.

Si alguna de las condiciones expuestas no se cumple, no hay
en absoluto garantías de éxito en el uso de Bound File
Extractor. Es posible que los ejecutables resultantes
carezcan de una parte de su código y entonces no se puedan
ejecutar.

De momento ésta es la primera versión de este sorprendente e
inédito Anti-Binder. Básicamente lo que hace es ingeniería
inversa sobre un Binder convencional. En próximas versiones
su autor nos ha prometido que aceptará más archivos además de
los ejecutables.

¿Pero para qué queremos un Anti-Binder?. La respuesta es
obvia: para defendernos.

Ésta no es una herramienta de ataque sino de defensa. Ya
sabemos que es posible ocultar cualquier código maligno en
cualquier ejecutable y ésa es una vía de infección muy sutil
que afecta a muchos usuarios de ordenadores.

Si nosotros recibimos un ejecutable que nos resulta
sospechoso (por ejemplo, cualquier crack que nos bajemos de
Internet), sería muy conveniente someterlo al Bound File
Extractor para que nos indique si dentro de él hay más
archivos adheridos o no. Tengamos en cuenta que uno de esos
archivos puede contener un virus. Ante esa posible
eventualidad lo mejor es no ejecutar nunca el archivo. Es,
por tanto, una muy útil herramienta defensiva que nos puede
librar de más de una infección.

Finalmente he de advertir que si unimos dos ejecutables con
un Binder, obtendremos tres archivos luego con el Anti-
Binder. ¿Cuál es el tercer archivo?. Pues el llamado Stub
(que normalmente es stub.exe). Es el archivo que une los
ejecutables restantes.

En una prueba doméstica realizada en mi ordenador con dos
archivos que uní con un Binder llamado F Combine, obtuve tres
archivos finales, entre ellos stub.exe.

Paradójicamente los programadores de virus también pueden
ayudarnos a hacernos la vida en Internet un poco más segura.
Es difícil, desde luego, desentrañar las intenciones de esta
gente.

Curiosos personajes, sí señor.

(*) Marcos Rico es un investigador independiente de virus,
troyanos y exploits, y colaborador de VSAntivirus.com.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - W32/Frethem.K/L. Asunto: Re: Your password!
_____________________________________________________________

http://www.vsantivirus.com/frethem-k.htm

Nombre: W32/Frethem.K, W32/Frethem.L
Tipo: Gusano de Internet
Alias: W32.Frethem.K@mm, W32/Frethem-Fam, WORM_FRETHEM.K, I-
Worm.Frethem.k, I-Worm.Frethem.l
Fecha: 15/jul/02
Tamaño: 48,640 bytes, 31bytes
Plataformas: Windows 32-bits

Se trata de una variante de W32/Frethem.B, que también
utiliza sus propias rutinas SMTP para enviarse a si mismo a
direcciones de correo seleccionadas de la libreta de Windows
(Windows Address Book, .WAB) y extraídas de archivos con
extensiones .DBX, .WAB, .MBX, .EML, y .MDB (correspondientes
a diferentes almacenes de mensajes de Outlook, mensajes
descargados y libretas de direcciones).

No todos los antivirus que si detectaban las versiones
anteriores lo reconocen antes de ser actualizados. Ver
"Crónica de un virus (Nueva versión del Frethem)"
http://www.vsantivirus.com/15-07-02.htm

El mensaje recibido tiene estas características:

Asunto:
Re: Your password!

Texto:
ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Datos adjuntos:
decrypt-password.exe (48,640 bytes)
password.txt (31 bytes)

Cuando el gusano se ejecuta, se producen las siguientes
acciones:

El virus se copia a si mismo al archivo
C:\Windows\taskbar.exe

'C:\Windows' puede variar de acuerdo a la versión de Windows
instalada (por defecto C:\WINDOWS en Windows 9x/ME y C:\WINNT
en Windows NT/2000/XP).

Crea la siguiente entrada en el registro para ejecutarse
automáticamente en próximos reinicios del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Task Bar = C:\Windows\taskbar.exe

El gusano obtiene la configuración del servidor SMTP,
dirección electrónica y nombre del servidor SMTP para hacer
sus envíos de las siguientes claves del registro:

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001

SMTP Server
SMTP Email Address
SMTP Display Name

Luego busca direcciones a las que enviarse de la libreta de
direcciones y de bases de mensajes presentes en la máquina
infectada, examinando archivos con extensiones .dbx, .wab,
.mbx, .eml, y .mdb.

El mensaje enviado es igual al descripto al principio, con
dos adjuntos como ya vimos.

El primer adjunto, ‘Decrypt-password.exe’ es una copia del
gusano, un archivo en formato PE, comprimido dos veces, una
con la utilidad UPX y otra con PE-Pack y tiene un tamaño de
46 Kb aproximadamente. El segundo adjunto, ‘Password.txt’, es
un archivo de solo 93 bytes, totalmente inofensivo, que solo
contiene el siguiente texto:Your password is W8dqwq8q918213
El gusano se aprovecha de la vulnerabilidad "Incorrect MIME
Header" que permite que el adjunto se ejecute en forma
automática por solo leer el mensaje o verlo en el panel de
vista previa.

Debe actualizarse la versión usada del Internet Explorer para
evitar la acción de esta falla.

Solo una instancia de este gusano se ejecutará en memoria.
Para ello, el virus crea y luego chequea la presencia del
mutex "IEXPLORE_MUTEX_AABBCCDDEEFF" (un mutex es una especie
de semáforo indicador de la presencia en memoria de un
programa, para que el mismo no se vuelva a ejecutar hasta
salir de él).

Después de 'dormir' por varias horas, el gusano se copia a si
mismo como SETUP.EXE para ejecutarse en cada reinicio de
Windows (no olvidemos que también utiliza el método de
cambiar el registro como vimos antes):

C:\Windows\All Users\Start Menu\Programs\Startup\Setup.exe

Note que este archivo es creado en el directorio de inicio
global de aquellas computadoras con Windows en idioma inglés.
Esto también minimiza la acción en sistemas en otros idiomas,
incluido español.

En su código, posee las siguientes direcciones IP,
supuestamente utilizadas por el gusano en algún momento para
conectarse a la mismas a través del puerto 80 (HTTP):

http://12.224.160.208/b.cgi
http://12.225.239.153/b.cgi
http://12.252.211.170/b.cgi
http://128.173.231.167/b.cgi
http://129.120.117.218/b.cgi
http://140.158.208.167/b.cgi
http://143.111.86.30/b.cgi
http://147.26.215.144/b.cgi
http://170.11.31.35/b.cgi
http://207.171.103.126/b.cgi
http://209.192.135.22/b.cgi
http://213.190.55.222/b.cgi
http://24.138.42.33/b.cgi
http://24.153.41.186/b.cgi
http://24.157.108.78/b.cgi
http://24.159.28.120/b.cgi
http://24.24.128.16/b.cgi
http://24.242.106.163/b.cgi
http://24.91.146.67/b.cgi
http://24.91.187.71/b.cgi
http://4.47.227.27/b.cgi
http://63.231.167.66/b.cgi
http://63.71.246.234/b.cgi
http://64.211.174.43/b.cgi
http://65.25.12.45/b.cgi
http://66.31.193.42/b.cgi
http://66.31.93.30/b.cgi
http://66.68.22.102/b.cgi
http://68.35.125.130/b.cgi
http://68.42.253.163/b.cgi
http://68.57.88.25/b.cgi

También incluye el siguiente texto, no mostrado al usuario:

thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!

* Reparación manual

Para eliminar manualmente este gusano de un sistema
infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la
siguiente:
SETUP o SETUP.EXE

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última
opción en la lengüeta Procesos.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

Task Bar

7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

9. Actualice sus antivirus y realice un escaneo de sus
discos, borrando los archivos detectados como pertenecientes
al gusano, y también todo correo electrónico con las
características descriptas anteriormente.

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

* Relacionados:

Crónica de un virus (Nueva versión del Frethem)
http://www.vsantivirus.com/15-07-02.htm

W32/Frethem.J. Asunto: Re: Your password!
http://www.vsantivirus.com/frethem-j.htm

W32/Frethem.D, E y F. Adjunto: decrypt-password.exe
http://www.vsantivirus.com/frethem-d.htm

W32/Frethem.G. Usa direcciones de temporales de Internet
http://www.vsantivirus.com/frethem-g.htm

W32/Frethem.B (Win64.B). Asunto: Re: Your password!
http://www.vsantivirus.com/freedesktop-b.htm

W32/Frethem.A (Win64.A). Simula enlace a un sitio Web
http://www.vsantivirus.com/freedesktop.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________