Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

ipl_001

Lebreat, Breatle, Reatle

Messages recommandés

Bonjour à tous,

 

Voici le nouveau ver W32/Lebreat-A

alias

Lebreat [F-Secure],

Net-Worm.Win32.Lebreat.gen [Kaspersky Lab],

W32/Lebreat-A [sophos],

W32/Lebreat@mm

Reatle

Win32.Reatle.A [Computer Associates],

WORM_REATLE.A [Trend Micro]

W32/Reatle.gen@MM [McAfee],

W32/Reatle@MM

Breatle

 

3 variantes :

- W32/Lebreat.A@mm

- W32/Lebreat.B@mm

- W32/Lebreat.C@mm

 

Très classique, en apparence mais comporte des sophistications qui pourraient le rendre très redoutable :

# Allows others to access the computer

# Forges the sender's email address

# Uses its own emailing engine

# Downloads code from the internet

# Reduces system security

 

Damage: Middle

Distribution: High

 

W32/Lebreat-A is a worm with a backdoor component for the Windows platform.

W32/Lebreat-A spreads by exploiting the LSASS vulnerablity.

W32/Lebreat-A will send itself to email addresses harvested from the infected computer.

 

Damage

    * Payload Trigger: n/a

    * Payload: Lowers security settings.

          o Large scale e-mailing: Uses its own SMTP engine to send itself to the email addresses that it finds.

          o Deletes files: n/a

          o Modifies files: n/a

          o Degrades performance: System performance may be degraded when a denial of service attack is taking place.

          o Causes system instability: n/a

          o Releases confidential info: n/a

          o Compromises security settings: Disables several Windows security features.

 

Distribution

    * Subject of email: Varies

    * Name of attachment: Varies with a .scr, .bat, .exe, .cpl or .pif extension.

    * Size of attachment: n/a

    * Time stamp of attachment: n/a

    * Ports: TCP port 8885 and port 1052.

    * Shared drives: n/a

    * Target of infection: n/a

 

Il touche là où sa démange facilement :

**WARNING** Your Account Currently Disabled.

Your credit card was charged for $500 USD. For additional information see the attachment.

Your Account Suspended checkout the document.

 

...

 

Les conséquences sur le système sont très variées comme la désactivation du système de restauration, la désactivation du pare-feu, du gestionnaire des taches, des maj système, fait afficher je-ne-sais-quoi par le centre de sécurité...

(des symptômes qu'on a rencontré récemment !!!)

 

Détails sur Sophos -> http://www.sophos.com/virusinfo/analyses/w32lebreata.html (onglet Advanced)

 

Détails sur F-Secure -> http://www.f-secure.com/v-descs/lebreat.shtml

 

Détails sur Symantec -> http://securityresponse.symantec.com/avcen...l#technicaldeta

 

Info -> http://www.pcinpact.com/actu/news/Lebreat_...de_Symantec.htm

 

Patch MicroSoft LSASS -> http://www.microsoft.com/technet/security/...n/MS04-011.mspx

 

-------------------------------------------------------------------------------

 

Là où Lebreat fait aussi parler de lui :

 

- Sasser worm author mocked by creator of Lebreat-D virus, Sophos reports ( http://sophos.com/virusinfo/articles/lebreatd.html 29 juillet 2005)

- Le ver Lebreat se moque du créateur de Sasser ( http://www.branchez-vous.com/actu/05-08/09-271904.html 2 août 2005)

 

------------------------------------------------------------------------------

 

Voici une page du CERT relatives aux enfants de Sasser :

"Liste des vers exploitant la vulnérabilité "LSASS" - Avis CERT-IST/AV-2004.119 (MS04-011) (article du Bulletin Sécurité du Cert-IST de mai 2004)" -> http://www.cert-ist.com/francais/outils/article33_fr.htm

 

Sasser A, B, C

Sasser D

Sasser E

Bobax.A, B, D

Bobax.C

Cycle A

Kibuv A

Korgo

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...