Antivirus and Security Software from Sophos

W32/Lebreat-C

Alias
  • Net-Worm.Win32.Lebreat.gen
  • W32/Reatle.gen@MM
  • W32.Reatle.C@mm
  • CME-875
Catégorie
Type
Action à mener
Prévalence faible Forte

Récapitulatif

 
Comment il se propage
  • Pièces jointes de courriel
  • Partages réseau
Systèmes d'exploitation affectés Windows
Caractéristiques
  • S'installe dans le registre
Protection disponible depuis 17 juillet 2005 14:43:19 (GMT)
Détecté par Tous les produits Sophos
Download Détection des virus gratuite
Test de détection des menaces
  • Détection gratuite des virus et spywares
  • Vérification de votre protection antivirus actuelle
  • Votre antivirus est-il vraiment efficace ?

Action

Plus d'informations

W32/Lebreat-C est un ver avec un composant de porte dérobée pour la plate-forme Windows.

W32/Lebreat-C se propage en exploitant la faille LSASS.

W32/Lebreat-C s’envoie à des adresses électroniques collectées sur l’ordinateur infecté. Ces courriels ont les propriétés suivantes :

Objet :

**WARNING** Your Account Currently Disabled. Email Error Hello Importnat Information info Mail Delivery System Message could not be delivered Password

Corps du message :

Your credit card was charged for $500 USD. For additional information see the attachment.

Binary message is available.

The message contains Unicode characters and has been sent as a binary attachment.

Here are your banks documents

The original message was included as an attachment.

We have temporarily suspended your email account checkout the attachment for more info.

You have successfully updated the password of your domain account checkout the attachment for more info.

Important Notification checkout the attachment for more info.

Your Account Suspended checkout the document.

Your password has been updated checkout the document.

checkout the attachment.

Hello, I was in a hurry and I forgot to attach an important document. Please see attached. W32/Lebreat-C est un ver avec un composant de porte dérobée pour la plate-forme Windows.

W32/Lebreat-C se propage en exploitant la faille LSASS.

W32/Lebreat-C s’envoie à des adresses électroniques collectées sur l’ordinateur infecté. Ces courriels ont les propriétés suivantes :

Objet :

**WARNING** Your Account Currently Disabled. Email Error Hello Importnat Information info Mail Delivery System Message could not be delivered Password

Corps du message :

Your credit card was charged for $500 USD. For additional information see the attachment.

Binary message is available.

The message contains Unicode characters and has been sent as a binary attachment.

Here are your banks documents

The original message was included as an attachment.

We have temporarily suspended your email account checkout the attachment for more info.

You have successfully updated the password of your domain account checkout the attachment for more info.

Important Notification checkout the attachment for more info.

Your Account Suspended checkout the document.

Your password has been updated checkout the document.

checkout the attachment.

Hello, I was in a hurry and I forgot to attach an important document. Please see attached.

La pièce jointe portera l’un des noms suivants :

about.cpl about.doc<plusieurs espaces>.bat about.scr account-report.exe admin.bat archive.cpl archive.exe box.bat box.scr data.bat data.scr doc.pif docs.cpl docs.scr document.cpl document.exe file.cpl help.doc<plusieurs espaces>.exe inbox.cpl inbox.exe order.cpl order.exe payment.doc<plusieurs espaces>.scr read.cpl read.exe readme.cpl readme.scr

Le courriel semble provenir d’une combinaison de l’un des noms utilisateurs suivants :

adam admin alerts alex brenda brent david fred helen jack jane jerry john josh linda mary matt michael mike paul robert root sales steve support

et des domaines suivants :

antivirus.com aol.com arcor.com ca.com gmail.com google.com hotmail.com matrix.com mcafee.com microsoft.com msn.com nai.com support.com symantec.com trendmicro.com yahoo.com

W32/Lebreat-C évite d’envoyer des adresses électroniques contenant les chaînes de caractères suivantes :

icrosof .gov panda f-secur icrosoft winrar winzip @mcafee @trendmicro @noreply @sopho @norman @virusli @norton @fsecure @panda @avp @microsoft @symantec

W32/Lebreat-C ouvre aussi une porte dérobée ftp sur le port 8885 et tente d’effectuer une attaque par déni de service distribué sur www.symantec.com.

W32/Lebreat-C se copie dans le dossier système Windows sous les noms ccapp.exe et attach.tmp et crée les entrées suivantes du registre :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Symantec "<système>\ccapp.exe"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Symantec "<système>\ccapp.exe"

W32/Lebreat-C crée ou modifie par ailleurs les entrées suivantes du registre :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system DisableRegistryTools "1"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system DisableTaskMgr "1"

W32/Lebreat-C peut créer un fichier nommé xzy6.tmp dans le dossier Windows qui est une liste d’adresses électroniques collectées. Ce fichier peut être supprimé en toute sécurité et est inoffensif.

W32/Lebreat-C tente de télécharger et d’exécuter le fichier update3.exe depuis une URL prédéfinie.

Microsoft fournit un correctif pour la faille LSASS à l’URL suivante :

MS04-011

RSS|Atom
Rapports sur les menaces de virus et de spywares les plus récentes envoyées à votre ordinateur