病毒名称：Worm.Frethem.48640

　　病毒类型：蠕虫

　　病毒长度：48640字节 　　

　　技术特征：

　　该蠕虫是密码病毒的新变种，它利用自己的SMTP引擎向Windows地址簿及.dbx, .wab, .mbx, .eml,.mdb文件中的邮件地址发送带毒邮件，邮件中含有两个附件，其中Decrypt-password.exe是蠕虫的副本，经过了UPX及PE-Pack 两层压缩，本身用VC++编写，另一个Password.txt是文本文件。邮件内容为：

　　主题：Re: Your password!

　　正文：ATTENTION!

　　You can access

　　very important

　　information by

　　this password

　　DO NOT SAVE

　　password to disk

　　use your mind

　　now press

　　cancel

　　病毒一旦运行后，会：

　　(1)　检察当前键盘是否为Russian 或 Uzbek 键盘,如果是则退出不感染，否则拷贝自身到%windir%StartMenuProgramsStartupsetup.exe，并且设置为Windows启动时运行，即添加键值至注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun中；

　　(2)从如下注册表中获取电脑用户的SMTP服务器、邮件地址及SMTP服务器名：

　　SoftwareMicrosoftInternet Account ManagerAccounts0000001SMTP Server

　　SoftwareMicrosoftInternet Account ManagerAccounts0000001SMTP Email Address

　　SoftwareMicrosoftInternet Account ManagerAccounts0000001SMTP Display Name

　　(3)然后从Windows地址簿及.dbx, .wab, .mbx, .eml,.mdb文件中获取邮件地址，并向这些地址发送带毒邮件。

　　(4)该病毒还带有后门程序，在病毒体内含有大量类似http://68.35.125.130/b.cgi的URL地址，病毒会从这些地址中随机选择一URL并从此URL下载并执行程序。这样后门程序就可以完成一些其它的功能。

　　病毒体中含有的URL有60多个：

　　‘http://12.220.54.29/b.cgi‘

　　‘http://12.224.160.208/b.cgi‘

　　‘http://12.225.239.153/b.cgi‘

　　‘http://12.239.90.200/b.cgi‘

　　‘http://12.249.100.107/b.cgi‘

　　‘http://12.252.211.170/b.cgi‘

　　‘http://128.173.231.167/b.cgi‘

　　‘http://129.120.117.218/b.cgi‘

　　‘http://140.158.208.167/b.cgi‘

　　‘http://143.111.86.30/b.cgi‘

　　‘http://144.132.27.124/b.cgi‘

　　‘http://147.26.215.144/b.cgi‘

　　 ‘http://150.208.186.200/b.cgi‘ ‘http://170.11.31.35/b.cgi‘ 　‘http://172.148.216.191/b.cgi‘ [未结束]