病毒名称：W32.Frethem.K@mm

　　别名：I-Worm.Frethem.l [AVP], W32/Frethem.l@MM [McAfee], WORM_FRETHEM.K [Trend], W32/Frethem-Fam [Sophos]

　　发现日期：2002-07-15

　　病毒类型：蠕虫

　　感染长度：48640字节

　　危害级别：低

　　传播速度：快

　　受影响系统：Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

　　不受影响系统：Macintosh, Unix, Linux

　　病毒危害：

　　发送大量邮件：感染后，会向Windows地址簿及.dbx .wab, .mbx, .eml, .mdb文件中的邮件地址发送大量邮件

　　技术特征：

　　该蠕虫是W32.Frethem.B@mm的变种，会利用自己的SMTP引擎向外发送邮件，其邮件特征为：

　　主题：Re: Your password!

　　内文：ATTENTION!

　　You can access

　　very important

　　information by

　　this password

　　DO NOT SAVE

　　password to disk

　　use your mind

　　now press

　　cancel

　　附件：Decrypt-password.exe及Password.txt

　　注意：Decrypt-password.exe是蠕虫的副本，经过了UPX及PE压缩，大小为48K左右。而Password.txt是一个大小约93字节的文本文件，该文件杀毒软件无法检测到，因此，若您感染了此病毒后，需要手动删除此文件。

　　病毒运行后，会：

　　1.拷贝自身至%windir%Taskbar.exe。

　　2.通过添加如下键值来设置同Windows一起启动：

　　添加Task Bar%windir%taskbar.exe 至注册表：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun中。

　　3.接着，病毒会从如下注册表中获取电脑用户的SMTP服务器、邮件地址及SMTP服务器名：

　　HKEY_CURRENT_USERSoftwareMicrosoft

　　Internet Account ManagerAccounts0000001SMTP Server

　　HKEY_CURRENT_USERSoftwareMicrosoft

　　Internet Account ManagerAccounts0000001SMTP Email Address

　　HKEY_CURRENT_USERSoftwareMicrosoft

　　Internet Account ManagerAccounts0000001SMTP Display Name

　　此病毒以邮件的形式发送到用户计算机时，它会利用IFRAME及MIME漏洞，使得用户在阅读或预览邮件的时候，病毒会自动感染。这两个漏洞的补丁，用户可到该地址下载：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.