Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

ipl_001

Lebreat, Breatle, Reatle

Messages recommandés

Bonjour à tous,

 

Voici le nouveau ver W32/Lebreat-A

alias

Lebreat [F-Secure],

Net-Worm.Win32.Lebreat.gen [Kaspersky Lab],

W32/Lebreat-A [sophos],

W32/Lebreat@mm

Reatle

Win32.Reatle.A [Computer Associates],

WORM_REATLE.A [Trend Micro]

W32/Reatle.gen@MM [McAfee],

W32/Reatle@MM

Breatle

 

3 variantes :

- W32/Lebreat.A@mm

- W32/Lebreat.B@mm

- W32/Lebreat.C@mm

 

Très classique, en apparence mais comporte des sophistications qui pourraient le rendre très redoutable :

# Allows others to access the computer

# Forges the sender's email address

# Uses its own emailing engine

# Downloads code from the internet

# Reduces system security

 

Damage: Middle

Distribution: High

 

W32/Lebreat-A is a worm with a backdoor component for the Windows platform.

W32/Lebreat-A spreads by exploiting the LSASS vulnerablity.

W32/Lebreat-A will send itself to email addresses harvested from the infected computer.

 

Damage

    * Payload Trigger: n/a

    * Payload: Lowers security settings.

          o Large scale e-mailing: Uses its own SMTP engine to send itself to the email addresses that it finds.

          o Deletes files: n/a

          o Modifies files: n/a

          o Degrades performance: System performance may be degraded when a denial of service attack is taking place.

          o Causes system instability: n/a

          o Releases confidential info: n/a

          o Compromises security settings: Disables several Windows security features.

 

Distribution

    * Subject of email: Varies

    * Name of attachment: Varies with a .scr, .bat, .exe, .cpl or .pif extension.

    * Size of attachment: n/a

    * Time stamp of attachment: n/a

    * Ports: TCP port 8885 and port 1052.

    * Shared drives: n/a

    * Target of infection: n/a

 

Il touche là où sa démange facilement :

**WARNING** Your Account Currently Disabled.

Your credit card was charged for $500 USD. For additional information see the attachment.

Your Account Suspended checkout the document.

 

...

 

Les conséquences sur le système sont très variées comme la désactivation du système de restauration, la désactivation du pare-feu, du gestionnaire des taches, des maj système, fait afficher je-ne-sais-quoi par le centre de sécurité...

(des symptômes qu'on a rencontré récemment !!!)

 

Détails sur Sophos -> http://www.sophos.com/virusinfo/analyses/w32lebreata.html (onglet Advanced)

 

Détails sur F-Secure -> http://www.f-secure.com/v-descs/lebreat.shtml

 

Détails sur Symantec -> http://securityresponse.symantec.com/avcen...l#technicaldeta

 

Info -> http://www.pcinpact.com/actu/news/Lebreat_...de_Symantec.htm

 

Patch MicroSoft LSASS -> http://www.microsoft.com/technet/security/...n/MS04-011.mspx

 

-------------------------------------------------------------------------------

 

Là où Lebreat fait aussi parler de lui :

 

- Sasser worm author mocked by creator of Lebreat-D virus, Sophos reports ( http://sophos.com/virusinfo/articles/lebreatd.html 29 juillet 2005)

- Le ver Lebreat se moque du créateur de Sasser ( http://www.branchez-vous.com/actu/05-08/09-271904.html 2 août 2005)

 

------------------------------------------------------------------------------

 

Voici une page du CERT relatives aux enfants de Sasser :

"Liste des vers exploitant la vulnérabilité "LSASS" - Avis CERT-IST/AV-2004.119 (MS04-011) (article du Bulletin Sécurité du Cert-IST de mai 2004)" -> http://www.cert-ist.com/francais/outils/article33_fr.htm

 

Sasser A, B, C

Sasser D

Sasser E

Bobax.A, B, D

Bobax.C

Cycle A

Kibuv A

Korgo

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×