Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Comment il se propage |
|
|---|---|
| Systèmes d'exploitation affectés | Windows |
| Protection disponible depuis | 1 août 2005 13:14:08 (GMT) |
| Dernière mise à jour | 9 août 2005 15:47:06 (GMT) |
| Détecté par | Tous les produits Sophos |
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/Lebreat-E est un ver et un cheval de Troie de porte dérobée pour la plate-forme Windows.
W32/Lebreat-E se propage sur d’autre ordinateurs du réseau en exploitant des failles de dépassement de capacité de la mémoire tampon comme LSASS (MS04-011).
W32/Lebreat-E tente une attaque par déni de service sur les sites www.sophos.com et www.kaspersky.com.
W32/Lebreat-E s’envoie à des adresses électroniques collectées sur l’ordinateur infecté. Ces courriels ont l’objet "Re_" et le corps de leurs messages est choisi parmi les suivants : Animals foto3 and MP3 fotogalary and Music fotoinfo Lovely animals Predators Screen and Music The snake
Le ver est inclus sous la forme d’une pièce jointe en guise de fichier ZIP ou de fichier exécutable avec l’une des extensions suivantes : BAT CMD COM CPL EXE PIF SCR
Le nom de la pièce jointe est choisi parmi les suivants : Cat Cool_MP3 Dof Fish Garry MP3 Music_MP3 New_MP3_Player
Le nom du fichier de la pièce jointe inclut un grand nombre d’espaces entre le nom de base et l’extension du fichier.
L’adresse électronique de l’expéditeur est falsifiée et semble venir de l’un des noms utilisateur suivants : admin support
Le courriel semble provenir de l’un de ces domaines : aol.com ca.com f-secure.com kaspersky.com mastercard.com mcafee.com msn.com paypal.com sarc.com security.com securityfocus.com sophos.com symantec.com trendmicro.com visa.com yahoo.com
W32/Lebreat-E évite l’envoi aux adresses électroniques contenant les chaînes de caractères suivantes : @microsoft.com @mm bugs@ cafee f-secure kasp ntivi panda sopho symantec trendmicro
W32/Lebreat-E fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée permettant à l’intrus distant d’accéder à l‘ordinateur via des canaux IRC et d’en prendre le contrôle.
Le fichier HOSTS système est modifié, empêchant l’accès aux adresses web suivantes :
127.0.0.1 ca.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 mcafee.com 127.0.0.1 pandasoftware.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 us.mcafee.com 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.sarc.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com
Microsoft met pour la faille LSASS un correctif à disposition à l’URL suivante :
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx W32/Lebreat-E est un ver et un cheval de Troie de porte dérobée pour la plate-forme Windows.
W32/Lebreat-E se propage sur d’autre ordinateurs du réseau en exploitant des failles de dépassement de capacité de la mémoire tampon comme LSASS (MS04-011).
W32/Lebreat-E tente une attaque par déni de service sur les sites www.sophos.com et www.kaspersky.com.
W32/Lebreat-E s’envoie à des adresses électroniques collectées sur l’ordinateur infecté. Ces courriels ont l’objet "Re_" et le corps de leurs messages est choisi parmi les suivants : Animals foto3 and MP3 fotogalary and Music fotoinfo Lovely animals Predators Screen and Music The snake
Le ver est inclus sous la forme d’une pièce jointe en guise de fichier ZIP ou de fichier exécutable avec l’une des extensions suivantes : BAT CMD COM CPL EXE PIF SCR
Le nom de la pièce jointe est choisi parmi les suivants : Cat Cool_MP3 Dof Fish Garry MP3 Music_MP3 New_MP3_Player
Le nom du fichier de la pièce jointe inclut un grand nombre d’espaces entre le nom de base et l’extension du fichier.
L’adresse électronique de l’expéditeur est falsifiée et semble venir de l’un des noms utilisateur suivants : admin support
Le courriel semble provenir de l’un de ces domaines : aol.com ca.com f-secure.com kaspersky.com mastercard.com mcafee.com msn.com paypal.com sarc.com security.com securityfocus.com sophos.com symantec.com trendmicro.com visa.com yahoo.com
W32/Lebreat-E évite l’envoi aux adresses électroniques contenant les chaînes de caractères suivantes : @microsoft.com @mm bugs@ cafee f-secure kasp ntivi panda sopho symantec trendmicro
W32/Lebreat-E fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée permettant à l’intrus distant d’accéder à l‘ordinateur via des canaux IRC et d’en prendre le contrôle.
Lorsqu’il est exécuté pour la première fois, W32/Lebreat-E se copie dans :
<System>\beagle.exe <System>\xbeagle.tmp
et crée les fichiers suivants :
<Windows>\sigma.dat <System>\zipx.dat <Windows>\xsas.jpg
Le fichier sigma.dat contient des adresses électroniques générées par le ver. Le fichier contient une copie du ver stockée sous la forme d’un fichier ZIP, et est aussi détecté sous le nom de W32/Lebreat-E. Le fichier xsas.jpg est un fichier image inoffensif.
L’entrée suivante du registre est créée pour exécuter beagle.exe au démarrage :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Bunx <System>\beagle.exe
Les entrées suivantes du registre sont paramétrées, désactivant l’éditeur du registre (regedit) et le gestionnaire des tâches Windows (taskmgr) :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system DisableTaskMgr 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system DisableRegistryTools 1
Le fichier HOSTS système est modifié, empêchant l’accès aux adresses web suivantes :
127.0.0.1 ca.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 mcafee.com 127.0.0.1 pandasoftware.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 us.mcafee.com 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.sarc.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com
Microsoft met pour la faille LSASS un correctif à disposition à l’URL suivante :
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
|
