Desde as primeiras horas desta segunda-feira, estão se espalhando pela Internet duas variantes de um worm, indicadas pelos nomes Frethem.K e Frethem.L. As principais companhias antivírus já lançaram alertas sobre a praga, a qual está se disseminando por vários países, com predominância nos continentes asiático e europeu. Já há casos confirmados do vírus no Brasil.O vírus Frethem se espalha por e-mail, em uma mensagem com o assunto "Re:Your Password!" e dois anexos, de nomes "decrypt-password.exe" e "password.txt". O corpo da mensagem, em inglês, tenta convencer o usuário de que os arquivos contêm senhas com as quais poderá acessar importantes informações. Uma característica peculiar do e-mail é que o texto está em letras vermelhas. No final do texto, há o nome de usuário da máquina infectada. Veja a cópia de uma mensagem com o vírus, que chegou até a redação (o endereço do remetente e o nome do usuário foram suprimidos):
O vírus se aproveita de uma vulnerabilidade do Internet Explorer, versões 5.0 e 5.5, que permite inserir dados incorretos no cabeçalho do e-mail, e possibilita a execução automática de anexos apenas com a pré-visualização da mensagem. Caso o usuário clique no arquivo decrypt-password.exe, o vírus também será posto em ação. O arquivo password.txt é inofensivo e contém apenas o seguinte texto: Your password is W8dqwq8q918213.
Após a execução, o vírus faz uma cópia de si mesmo na pasta do Windows, com o nome de taskbar.exe, e cria a seguinte chave no registro:
HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunTask Bar = %Windows%\taskbar.exe.
Nesta, %Windows% corresponde ao caminho no qual o sistema da Microsoft está instalado, normalmente C:\Windows. Isto faz com que a praga seja executa nas próxima vezes em que o computador for reiniciado
As variantes K e L do Frethem possuem seu próprio mecanismo SMTP para envio das mensagens. O vírus utiliza as informações do servidor de e-mail do usuário para poder se enviar. Os endereços eletrônicos dos destinatários são obtidos do Windows Address Book (WAB) e de arquivos .dbx, usados pelo Outlook Express.
Como acontece muitas vezes com vírus que estão se espalhando rapidamente, nem todas as empresas antivírus possuem as mesmas informações na primeiras horas. A Trend Micro, por exemplo, apresenta uma extensa lista de sites para os quais o Frethem tenta enviar dados, provavelmente como uma forma de conseguir pontos de referência na Web.
Já a Kaspersky informa que o vírus instala uma backdoor no sistema, através da qual consegue executar comandos na máquina afetada. Um desses comandos consiste em se conectar a um site e baixar arquivos executáveis do endereço, os quais servem para atualizar o vírus para novas versões. Se a backdoor for ativada, os arquivos status.ini e win64.ini serão criados no diretório do Windows.
A Panda relata que os endereços de e-mail coletados pelo vírus podem ser retirados de arquivos com as extensões .mbx, .eml e .mdb, usados pelo Outlook e Outlook Express, e também de arquivos com extensões dbx e .wab, já citados antriormente. A companhia afirma ainda que o Frethem possui a capacidade de mudar o endereço do remetente da mensagem infectada. Como resultado, muitos e-mails poderão ter a aparência de que foram enviados por usuários cujas máquinas não estão realmente contaminadas. Esta é uma característica típica de vírus como o Klez, mas que já começou a ser aproveitada por outras pragas virtuais.
Várias empresas também informam que o arquivo Setup.exe pode ser instalado pelo Frethem na pasta do menu "Iniciar", sob determinadas condições, ligadas ao idioma usado pelo sistema que estiver infectado.
O mais importante é que muitas dessas empresas já desenvolveram vacinas para o vírus, por isso é importante você atualizar seu antivírus. A Panda, que batizou as versões K e L com as letras J e K respectivamente, está tornando disponível um removedor automático para o Frethem, o qual pode ser encontrado aqui.
Especialmente importante para quem ainda não o fez, é atualizar o Internet Explorer, a fim de corrigir o bug que possibilita a execução automática dos anexos. Isto pode ser feito no site da Microsoft, clicando aqui (leia as instruções do boletim antes de instalar esta correção).
Um dado curioso é que o criador do vírus agradece as empresas antivírus por "ter descrito a idéia" para gerar a praga. Ele avisa, porém, que nenhuma ação destrutiva foi adicionada às novas versões. Tais informações podem ser vistas no código do vírus, que apresenta o seguinte texto: thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY