Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Comment il se propage |
|
|---|---|
| Systèmes d'exploitation affectés | Windows |
| Caractéristiques |
|
| Protection disponible depuis | 24 août 2005 22:49:37 (GMT) |
| Détecté par | Tous les produits Sophos |
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/Lebreat-F est un ver à diffusion de masse et un cheval de Troie de porte dérobée pour la plate-forme Windows.
W32/Lebreat-F se propage sur d’autre ordinateurs du réseau en exploitant des failles de dépassement de capacité de la mémoire tampon comme LSASS (MS04-011) et PnP (MS05-039) (en anglais).
W32/Lebreat-F contient aussi des fonctionnalités lui permettant de se comporter en tant que serveur ftp et de fournir l'accès aux utilisateurs distants.
W32/Lebreat-F tente aussi de télécharger et d'exécuter un fichier depuis une URL prédéfinie. Ce fichier n'est pas disponible à l'heure où nous écrivons cette analyse.
W32/Lebreat-F s'envoie aussi aux adresses électroniques collectées dans l'ordinateur infecté en adoptant les propriétés suivantes :
Objet :
Changes.. Fax Message Forum notify Incoming message Notification Protected message Re: Document Re: Hello Re: Hi Re: Incoming Message Re: Incoming Msg Re: Message Notify Re: Msg reply Re: Protected message Re: Text message Re: Thank you! Re: Thanks :) Re: Yahoo! Site changes Update
Texte du message :
Attach tells everything. Attached file tells everything. Check attached file for details. Check attached file. Encrypted document Here is the file. Message is in attach More info is in attach Pay attention at the attach. Please, have a look at the attached file. Please, read the document. Read the attach. See attach. See the attached file for details. Try this. webmaster Your document is attached. Your file is attached.
Les courriels semblent provenir des domaines suivants :
aol.com ca.com f-secure.com kaspersky.com mcafee.com microsoft.com msn.com sarc.com security.com securityfocus.com sophos.com symantec.com trendmicro.com yahoo.com
Les correctifs des failles du système d'exploitation utilisées par W32/Lebreat-F sont disponibles sur le site web de Microsoft : MS04-011 MS05-039 (en anglais)W32/Lebreat-F est un ver à diffusion de masse et un cheval de Troie de porte dérobée pour la plate-forme Windows.
W32/Lebreat-F se propage sur d’autre ordinateurs du réseau en exploitant des failles de dépassement de capacité de la mémoire tampon comme LSASS (MS04-011) et PnP (MS05-039) (en anglais).
W32/Lebreat-F contient aussi des fonctionnalités lui permettant de se comporter en tant que serveur ftp et de fournir l'accès aux utilisateurs distants.
W32/Lebreat-F tente aussi de télécharger et d'exécuter un fichier depuis une URL prédéfinie. Ce fichier n'est pas disponible à l'heure où nous écrivons cette analyse.
W32/Lebreat-F s'envoie aussi aux adresses électroniques collectées dans l'ordinateur infecté en adoptant les propriétés suivantes :
Objet :
Changes.. Fax Message Forum notify Incoming message Notification Protected message Re: Document Re: Hello Re: Hi Re: Incoming Message Re: Incoming Msg Re: Message Notify Re: Msg reply Re: Protected message Re: Text message Re: Thank you! Re: Thanks :) Re: Yahoo! Site changes Update
Texte du message :
Attach tells everything. Attached file tells everything. Check attached file for details. Check attached file. Encrypted document Here is the file. Message is in attach More info is in attach Pay attention at the attach. Please, have a look at the attached file. Please, read the document. Read the attach. See attach. See the attached file for details. Try this. webmaster Your document is attached. Your file is attached.
Les courriels semblent provenir des domaines suivants :
aol.com ca.com f-secure.com kaspersky.com mcafee.com microsoft.com msn.com sarc.com security.com securityfocus.com sophos.com symantec.com trendmicro.com yahoo.com
W32/Lebreat-F évite de s'envoyer aux adresses contenant le texte suivant :
@messagelab @microsoft anyone@ certific contract@ f-secur free-av gold-certs@ google icrosoft listserv nobody@ noone@ noreply norton postmaster@ rating@ samples support update winrar winzip
W32/Lebreat-F se déplace dans le dossier système Windows et crée l'entrée de registre suivante :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run winhost <dossier système Windows>\winhost.exe
W32/Lebreat-F se copie aussi dans les fichiers du dossier système Windows suivants :
<plusieurs espaces>.exe e images.exe e.doc<plusieurs espaces>.exe Windows Sourcecode update.doc<plusieurs espaces>.exe winhost.tmp
W32/Lebreat-F supprime de nombreuses entrées de registre sous :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et HKCU\Software\Microsoft\Windows\CurrentVersion\Run
W32/Lebreat-F se copie dans tous les dossiers dont les noms contiennent 'shar' et l'un des noms de fichier suivants :
XXX hardcore images.exe Windown Longhorn Beta Leak.exe WinAmp 6 New!.exe Porno, sex, oral, anal cool, awesome!!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr New patch.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Office 2003 Crack, Working!.exe Kaspersky Antivirus 5.0.exe Ahead Nero 7.exe
W32/Lebreat-F injecte des fichiers aux emplacements suivants :
<dossier Windows>\beagle.exe (détecté sous le nom de W32/Bagle-BW) <dossier système Windows>\beagle.exe (détecté sous le nom de W32/Bagle-BW) <dossier Windows>scan.exe (détecté sous le nom de W32/Lilbre-A) <dossier Windows>\sgm32.dll (fichier inoffensif pouvant être supprimé en toute sécurité) <dossier système Windows>\mcafee.exe (détecté sous le nom de W32/Lilbre-A)
W32/Lebreat-F ajoute les adresses suivantes au fichier HOSTS afin d'empêcher l'accès aux URLs de sécurité associées :
127.0.0.1 ca.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 mcafee.com 127.0.0.1 pandasoftware.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 us.mcafee.com 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.sarc.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.trendmicro.com
Les correctifs des failles du système d'exploitation utilisées par W32/Lebreat-F sont disponibles sur le site web de Microsoft : MS04-011 MS05-039 (en anglais)
|
