Lebreat, Breatle, Reatle

Lebreat, Breatle, Reatle Prenons garde ! Noter :

#1 ipl_001

Admin Espace Sécurité

Groupe : Administrateur Espace Sécurité
Messages : 23781
Inscrit(e) : 22-novembre 02

Posté 03 août 2005 - 12:16

Bonjour à tous,

Voici le nouveau ver W32/Lebreat-A
alias
Lebreat [F-Secure],
Net-Worm.Win32.Lebreat.gen [Kaspersky Lab],
W32/Lebreat-A [Sophos],
W32/Lebreat@mm
Reatle
Win32.Reatle.A [Computer Associates],
WORM_REATLE.A [Trend Micro]
W32/Reatle.gen@MM [McAfee],
W32/Reatle@MM
Breatle

3 variantes :
- W32/Lebreat.A@mm
- W32/Lebreat.B@mm
- W32/Lebreat.C@mm

Très classique, en apparence mais comporte des sophistications qui pourraient le rendre très redoutable :
# Allows others to access the computer
# Forges the sender's email address
# Uses its own emailing engine
# Downloads code from the internet
# Reduces system security

Damage: Middle
Distribution: High

W32/Lebreat-A is a worm with a backdoor component for the Windows platform.
W32/Lebreat-A spreads by exploiting the LSASS vulnerablity.
W32/Lebreat-A will send itself to email addresses harvested from the infected computer.

Citation

Damage
* Payload Trigger: n/a
* Payload: Lowers security settings.
o Large scale e-mailing: Uses its own SMTP engine to send itself to the email addresses that it finds.
o Deletes files: n/a
o Modifies files: n/a
o Degrades performance: System performance may be degraded when a denial of service attack is taking place.
o Causes system instability: n/a
o Releases confidential info: n/a
o Compromises security settings: Disables several Windows security features.

Distribution
* Subject of email: Varies
* Name of attachment: Varies with a .scr, .bat, .exe, .cpl or .pif extension.
* Size of attachment: n/a
* Time stamp of attachment: n/a
* Ports: TCP port 8885 and port 1052.
* Shared drives: n/a
* Target of infection: n/a

Il touche là où sa démange facilement :
**WARNING** Your Account Currently Disabled.
Your credit card was charged for $500 USD. For additional information see the attachment.
Your Account Suspended checkout the document.

...

Les conséquences sur le système sont très variées comme la désactivation du système de restauration, la désactivation du pare-feu, du gestionnaire des taches, des maj système, fait afficher je-ne-sais-quoi par le centre de sécurité...
(des symptômes qu'on a rencontré récemment !!!)

Détails sur Sophos -> http://www.sophos.co...32lebreata.html (onglet Advanced)

Détails sur F-Secure -> http://www.f-secure....s/lebreat.shtml

Détails sur Symantec -> http://securityresponse.symantec.com/avcen...l#technicaldeta

Info -> http://www.pcinpact.com/actu/news/Lebreat_...de_Symantec.htm

Patch MicroSoft LSASS -> http://www.microsoft.com/technet/security/...n/MS04-011.mspx

-------------------------------------------------------------------------------

Là où Lebreat fait aussi parler de lui :

- Sasser worm author mocked by creator of Lebreat-D virus, Sophos reports ( http://sophos.com/vi...s/lebreatd.html 29 juillet 2005)
- Le ver Lebreat se moque du créateur de Sasser ( http://www.branchez-.../09-271904.html 2 août 2005)

------------------------------------------------------------------------------

Voici une page du CERT relatives aux enfants de Sasser :
"Liste des vers exploitant la vulnérabilité "LSASS" - Avis CERT-IST/AV-2004.119 (MS04-011) (article du Bulletin Sécurité du Cert-IST de mai 2004)" -> http://www.cert-ist....rticle33_fr.htm

Sasser A, B, C
Sasser D
Sasser E
Bobax.A, B, D
Bobax.C
Cycle A
Kibuv A
Korgo

Gérard

Don't give up... that is what they want us to do... Budfred!

Retour en haut of the page up there ^

#2 ipl_001

Admin Espace Sécurité

Groupe : Administrateur Espace Sécurité
Messages : 23781
Inscrit(e) : 22-novembre 02

Posté 03 août 2005 - 12:52

Rebonjour à tous,

Suite sur le sujet de "Création de réseaux dormants, les bots et les zombies" -> http://forum.zebulon...showtopic=71828

Gérard

Don't give up... that is what they want us to do... Budfred!

Retour en haut of the page up there ^

Similar Topics
Sujet	Commencé par	Statistiques	Infos sur le dernier message
maladiva, mise en garde antivir 1 2	topp	15 réponses 2777 vues	28 juillet 2009 - 11:11 Par : topp
mon ecran garde des traces de fenetres NEC LCD2690 et NVIDIA Getforce 8800	rufus_	3 réponses 2123 vues	11 septembre 2008 - 01:18 Par : rufus_
[RÉSOLU] Primary IDE HDD non gardé par le BIOS Résolu : PC parti à la déchetterie	Notpa	4 réponses 1260 vues	12 mars 2007 - 06:46 Par : Notpa
page de garde Word pas de pied de page	cams170986	5 réponses 10419 vues	23 avril 2004 - 08:01 Par : lili
Onduleur qui a de la voix, mise en garde	leminou	8 réponses 2058 vues	05 mars 2008 - 06:57 Par : douds
Mise en garde N9uf	BluzZ	6 réponses 1413 vues	05 juin 2007 - 04:05 Par : BluzZ
mise en garde	rhodes38	7 réponses 1264 vues	11 mai 2007 - 08:44 Par : regis56
Je garde mon chipset intégré ou je met une carte son? 1 2	FreeKiller	14 réponses 2162 vues	04 novembre 2006 - 09:18 Par : cobra83
Mise en garde 1 2 3 4 MSN - clés Wifi ... etc	douds	33 réponses 3618 vues	13 février 2007 - 11:01 Par : wong
photoshop cs2 garde mes recherches en mémoire!!	sylvainj2	1 réponses 1195 vues	24 mai 2006 - 11:07 Par : lordtoniok

Similar Topics