Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Lebreat, Breatle, Reatle

ipl_001

Par ipl_001
dans Analyses et éradication malwares

 Partager

Messages recommandés

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonjour à tous,

 

Voici le nouveau ver W32/Lebreat-A

alias

Lebreat [F-Secure],

Net-Worm.Win32.Lebreat.gen [Kaspersky Lab],

W32/Lebreat-A [sophos],

W32/Lebreat@mm

Reatle

Win32.Reatle.A [Computer Associates],

WORM_REATLE.A [Trend Micro]

W32/Reatle.gen@MM [McAfee],

W32/Reatle@MM

Breatle

 

3 variantes :

- W32/Lebreat.A@mm

- W32/Lebreat.B@mm

- W32/Lebreat.C@mm

 

Très classique, en apparence mais comporte des sophistications qui pourraient le rendre très redoutable :

# Allows others to access the computer

# Forges the sender's email address

# Uses its own emailing engine

# Downloads code from the internet

# Reduces system security

 

Damage: Middle

Distribution: High

 

W32/Lebreat-A is a worm with a backdoor component for the Windows platform.

W32/Lebreat-A spreads by exploiting the LSASS vulnerablity.

W32/Lebreat-A will send itself to email addresses harvested from the infected computer.

 

Damage

    * Payload Trigger: n/a

    * Payload: Lowers security settings.

          o Large scale e-mailing: Uses its own SMTP engine to send itself to the email addresses that it finds.

          o Deletes files: n/a

          o Modifies files: n/a

          o Degrades performance: System performance may be degraded when a denial of service attack is taking place.

          o Causes system instability: n/a

          o Releases confidential info: n/a

          o Compromises security settings: Disables several Windows security features.

 

Distribution

    * Subject of email: Varies

    * Name of attachment: Varies with a .scr, .bat, .exe, .cpl or .pif extension.

    * Size of attachment: n/a

    * Time stamp of attachment: n/a

    * Ports: TCP port 8885 and port 1052.

    * Shared drives: n/a

    * Target of infection: n/a

 

Il touche là où sa démange facilement :

**WARNING** Your Account Currently Disabled.

Your credit card was charged for $500 USD. For additional information see the attachment.

Your Account Suspended checkout the document.

 

...

 

Les conséquences sur le système sont très variées comme la désactivation du système de restauration, la désactivation du pare-feu, du gestionnaire des taches, des maj système, fait afficher je-ne-sais-quoi par le centre de sécurité...

(des symptômes qu'on a rencontré récemment !!!)

 

Détails sur Sophos -> http://www.sophos.com/virusinfo/analyses/w32lebreata.html (onglet Advanced)

 

Détails sur F-Secure -> http://www.f-secure.com/v-descs/lebreat.shtml

 

Détails sur Symantec -> http://securityresponse.symantec.com/avcen...l#technicaldeta

 

Info -> http://www.pcinpact.com/actu/news/Lebreat_...de_Symantec.htm

 

Patch MicroSoft LSASS -> http://www.microsoft.com/technet/security/...n/MS04-011.mspx

 

-------------------------------------------------------------------------------

 

Là où Lebreat fait aussi parler de lui :

 

- Sasser worm author mocked by creator of Lebreat-D virus, Sophos reports ( http://sophos.com/virusinfo/articles/lebreatd.html 29 juillet 2005)

- Le ver Lebreat se moque du créateur de Sasser ( http://www.branchez-vous.com/actu/05-08/09-271904.html 2 août 2005)

 

------------------------------------------------------------------------------

 

Voici une page du CERT relatives aux enfants de Sasser :

"Liste des vers exploitant la vulnérabilité "LSASS" - Avis CERT-IST/AV-2004.119 (MS04-011) (article du Bulletin Sécurité du Cert-IST de mai 2004)" -> http://www.cert-ist.com/francais/outils/article33_fr.htm

 

Sasser A, B, C

Sasser D

Sasser E

Bobax.A, B, D

Bobax.C

Cycle A

Kibuv A

Korgo

Lien vers le commentaire
Partager sur d’autres sites

ipl_001 Devil Member !

ipl_001

Posté(e)
  • Auteur
Posté(e)

Rebonjour à tous,

 

Suite sur le sujet de "Création de réseaux dormants, les bots et les zombies" -> http://forum.zebulon.fr/index.php?showtopic=71828

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...