Net-Worm.Win32.Lebreat.m

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows.

Net-Worm.Win32.Lebreat.m («Лаборатория Касперского») также известен как: Exploit-DcomRpc.gen (McAfee), W32.Reatle.I@mm (Symantec), Win32.HLLM.Breatle (Doctor Web), W32/Breatle.F@mm (FRISK), Win32.Worm.Lebreat.M (SOFTWIN), Worm.Lebreat.C-1 (ClamAV), W32/Lebreat.Q.worm (Panda), Win32/Lebreat.S (Eset)

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), имеет размер 61291 байт.

Червь распространяется, используя уязвимости Microsoft Windows Plug and Play Service Vulnerability (MS05-039) и Microsoft Windows LSASS (MS04-011).

Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Также червь распространяется через файлообменные сети.

Инсталляция

После запуска червь копирует себя в системный каталог Windows со следующими именами:


%System%\winhost.exe
%System%\winhost.tmp

Затем червь регистрирует себя в ключе автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "winhost"="%System%\winhost.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Червь также создает несколько своих копий с различными именами в корневом каталоге диска C: и в системном каталоге Windows.

Червь создает следующие файлы, детектируемые Антивирусом Касперского как Email-Worm.Win32.Bagle.bw:


%System%\beagle.exe
%Windir%\bagle.exe

Также создаются файлы, детектируемые Антивирусом Касперского как Net-Worm.Win32.Lebreat.i:

%System%\mcafee.exe
%Windir%\scan.exe

В корневом каталоге Windows червь создает текстовый файл с именем sgm32.dll:


%Windir%\sgm32.dll

В данный файл червь записывает найденные на зараженном компьютере адреса электронной почты.

Распространение через интернет

Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимостей LSASS или Plug and Play, запускает на удаленной машине свой код.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adb
asp
cgi
dbx
eml
htm
html
jsp
php
sht
txt
wab
xml

При этом червем игнорируются адреса, содержащие следующие подстроки:


@avp.
@foo
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
norton
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
virus
winrar
winzip

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Комбинируется по частям из имени и домена отправителя:

Имя:

Выбирается из списка:


    * root
    * webmaster

Домен отправителя:

Выбирается из списка:


    * @aol.com
    * @ca.com
    * @f-secure.com
    * @kaspersky.com
    * @mcafee.com
    * @microsoft.com
    * @msn.com
    * @sarc.com
    * @security.com
    * @securityfocus.com
    * @sophos.com
    * @symantec.com
    * @trendmicro.com
    * @yahoo.com

Тема письма:

Выбирается из списка:


    * Changes..
    * Encrypted document
    * Fax Message
    * Forum notify
    * Incoming message
    * Notification
    * Protected message
    * Re:
    * Re: Document
    * Re: Hello
    * Re: Hi
    * Re: Incoming Message
    * Re: Incoming Msg
    * Re: Message Notify
    * Re: Msg reply
    * Re: Protected message
    * Re: Text message
    * Re: Thank you!
    * Re: Thanks :)
    * Re: Yahoo!
    * Site changes
    * Update

Текст письма:

Выбирается из списка:


    * Attach tells everything.
    * Attached file tells everything.
    * Check attached file for details.
    * Check attached file.
    * Here is the file.
    * Message is in attach
    * More info is in attach
    * Pay attention at the attach.
    * Please, have a look at the attached file.
    * Please, read the document.
    * Read the attach.
    * See attach.
    * See the attached file for details.
    * Try this.
    * Your document is attached.
    * Your file is attached.

Имя файла-вложения:

Выбирается из списка:


    * Details.doc [пробелы] .exe
    * Document.doc [пробелы] .exe
    * Info.doc [пробелы] .exe
    * Information.doc [пробелы] .exe
    * Message.doc [пробелы] .exe
    * MoreInfo.doc [пробелы] .exe
    * Readme.doc [пробелы] .exe
    * text_document.doc [пробелы] .exe
    * Updates.doc [пробелы] .exe

Распространение через P2P

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:


    * Ahead Nero 7.exe
    * Kaspersky Antivirus 5.0.exe
    * Microsoft Office 2003 Crack, Working!.exe
    * Microsoft Office XP working Crack, Keygen.exe
    * Microsoft Windows XP, WinXP Crack, working Keygen.exe
    * New document.doc [пробелы] .exe
    * New patch.exe
    * Porno pics arhive, xxx.exe
    * Porno Screensaver.scr
    * Porno, sex, oral, anal cool, awesome!!.exe
    * Serials.txt [пробелы] .exe
    * WinAmp 6 New!.exe
    * Windown Longhorn Beta Leak.exe
    * Windows Sourcecode update.doc [пробелы] .exe
    * XXX hardcore images.exe

Прочее

Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

127.0.0.1 www.trendmicro.com 
127.0.0.1 www.symantec.com 
127.0.0.1 us.mcafee.com 
127.0.0.1 liveupdate.symantec.com 
127.0.0.1 f-secure.com 
127.0.0.1 trendmicro.com 
127.0.0.1 www.sarc.com 
127.0.0.1 www.pandasoftware.com 
127.0.0.1 symantec.com 
127.0.0.1 www.mcafee.com 
127.0.0.1 sophos.com 
127.0.0.1 mcafee.com 
127.0.0.1 www.sophos.com 
127.0.0.1 www.kaspersky.com 
127.0.0.1 ca.com 
127.0.0.1 www.my-etrust.com 
127.0.0.1 download.mcafee.com 
127.0.0.1 www.f-secure.com 
127.0.0.1 kaspersky.com 
127.0.0.1 www.nai.com 
127.0.0.1 pandasoftware.com 
127.0.0.1 www.ca.com

Также червь имеет функцию загрузки других файлов из интернета и запуска их на компьютере пользователя. С сервера http://j***r.biz червь может загружать файл proto.com, копировать в системный каталог Windows и запускать на исполнение.