Den siste varinten av Frethem-ormen sprer seg nå på nettet. Den gjør tilsynelatende ikke så mye skade på maskinen, men virusanalytikere spekulerer i at den kan være programmert til å tjene penger for virusprogrammereren.
Virus-snuser Peter Kruse mener i hvert fall at ormen ankommer med en liste på 40 nettsteder den etter hvert vil prøve å åpne, noe som kan være del av en plan for å tjene penger på å sende trafikk til sidene. Samtidig kan dette være risikabelt for virusforfatteren, da informasjonen som lar en person tjene penger på slik trafikk-sending kan brukes til å identifisere vedkommende.
Antivirus-gjengen i Norman er enige i at ormen prøver å aksessere diverse webservere, men mener den forsøker å sende kommandoer til CGI-skript som ligger på disse serverne.
Verken Norman eller andre antivirusprodusenter digi.no har sjekket kan med sikkerhet si hva ormen prøver å gjøre på nettet.
Ormen ankommer innboksen med titteltekst "Re: Your Password!", og følgende innhold:
ATTENTION!
You can access very important information by this password
DO NOT SAVE password to disk
use your mind
now press cancel
Vedlegget heter "decrypt-password.exe" (35,840 bytes).
Om du kjører vedlegget vil ormen samle inn e-postadresser fra Microsoft Outlook Express' postkasse og Windows' adressebok-filer (WAB). Ormen bruker sin egen SMTP-maskin for å sende e-post.
Ormens forfatter har hengt seg på Klez-ormens grusomme suksess og håper nok at det gamle MIME-trikset skal hjelpe den å spre seg i alle retninger.
MIME-trikset er et gammelt hull i Internet Explorer, som lar e-postvedlegg kjøres automatisk bare du forhåndsviser e-posten i Outlook. Hullet kan lappes ved å laste ned en oppdatering fra Microsoft.
Hvis du ikke oppdaterer, kan ormen kjøre seg selv helt uten din medvirkning, og da sliter du.
Om du trenger mer informasjon om ormen, som har fått litt forskjellige navn fra forskjellige antivirusleverandører (W32.Frethem-C-D-E-F.worm, W32/Frethem@MM (McAfee), W32.Frethem@mm (Symantec), WIN32/FRETHEM.C,D,E,F (CAI), W32/Frethem-Fam (Sophos), anbefaler vi å sjekke Symantec eller Normans sider.