Net-Worm.Win32.Lebreat.m

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows.

Net-Worm.Win32.Lebreat.m («Лаборатория Касперского») также известен как: Exploit-DcomRpc.gen (McAfee), W32.Reatle.I@mm (Symantec), Win32.HLLM.Breatle (Doctor Web), W32/Breatle.F@mm (FRISK), Win32.Worm.Lebreat.M (SOFTWIN), Worm.Lebreat.C-1 (ClamAV), W32/Lebreat.Q.worm (Panda), Win32/Lebreat.S (Eset)

Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), имеет размер 61291 байт.

Червь распространяется, используя уязвимости Microsoft Windows Plug and Play Service Vulnerability (MS05-039) и Microsoft Windows LSASS (MS04-011).

Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Также червь распространяется через файлообменные сети.

Инсталляция

После запуска червь копирует себя в системный каталог Windows со следующими именами:

 
 %System%\winhost.exe
 %System%\winhost.tmp

Затем червь регистрирует себя в ключе автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "winhost"="%System%\winhost.exe"
 

При каждой следующей загрузке Windows автоматически запустит файл червя.

Червь также создает несколько своих копий с различными именами в корневом каталоге диска C: и в системном каталоге Windows.

Червь создает следующие файлы, детектируемые Антивирусом Касперского как Email-Worm.Win32.Bagle.bw:

 
 %System%\beagle.exe
 %Windir%\bagle.exe

Также создаются файлы, детектируемые Антивирусом Касперского как Net-Worm.Win32.Lebreat.i:

 %System%\mcafee.exe
 %Windir%\scan.exe

В корневом каталоге Windows червь создает текстовый файл с именем sgm32.dll:

 
 %Windir%\sgm32.dll

В данный файл червь записывает найденные на зараженном компьютере адреса электронной почты.

Распространение через интернет

Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимостей LSASS или Plug and Play, запускает на удаленной машине свой код.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

 adb
 asp
 cgi
 dbx
 eml
 htm
 html
 jsp
 php
 sht
 txt
 wab
 xml

При этом червем игнорируются адреса, содержащие следующие подстроки:

 
 @avp.
 @foo
 @iana
 @messagelab
 @microsoft
 @msn
 abuse
 admin
 anyone@
 bsd
 bugs@
 cafee
 certific
 contract@
 feste
 free-av
 f-secur
 gold-certs@
 google
 help@
 icrosoft
 info@
 kasp
 linux
 listserv
 local
 news
 nobody@
 noone@
 noreply
 norton
 ntivi
 panda
 pgp
 postmaster@
 rating@
 root@
 samples
 sopho
 spam
 support
 unix
 update
 virus
 winrar
 winzip
 

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Комбинируется по частям из имени и домена отправителя:

Имя:

Выбирается из списка:

 
     * root
     * webmaster

Домен отправителя:

Выбирается из списка:

 
     * @aol.com
     * @ca.com
     * @f-secure.com
     * @kaspersky.com
     * @mcafee.com
     * @microsoft.com
     * @msn.com
     * @sarc.com
     * @security.com
     * @securityfocus.com
     * @sophos.com
     * @symantec.com
     * @trendmicro.com
     * @yahoo.com

Тема письма:

Выбирается из списка:

 
     * Changes..
     * Encrypted document
     * Fax Message
     * Forum notify
     * Incoming message
     * Notification
     * Protected message
     * Re:
     * Re: Document
     * Re: Hello
     * Re: Hi
     * Re: Incoming Message
     * Re: Incoming Msg
     * Re: Message Notify
     * Re: Msg reply
     * Re: Protected message
     * Re: Text message
     * Re: Thank you!
     * Re: Thanks :)
     * Re: Yahoo!
     * Site changes
     * Update

Текст письма:

Выбирается из списка:

 
     * Attach tells everything.
     * Attached file tells everything.
     * Check attached file for details.
     * Check attached file.
     * Here is the file.
     * Message is in attach
     * More info is in attach
     * Pay attention at the attach.
     * Please, have a look at the attached file.
     * Please, read the document.
     * Read the attach.
     * See attach.
     * See the attached file for details.
     * Try this.
     * Your document is attached.
     * Your file is attached.

Имя файла-вложения:

Выбирается из списка:

 
     * Details.doc [пробелы] .exe
     * Document.doc [пробелы] .exe
     * Info.doc [пробелы] .exe
     * Information.doc [пробелы] .exe
     * Message.doc [пробелы] .exe
     * MoreInfo.doc [пробелы] .exe
     * Readme.doc [пробелы] .exe
     * text_document.doc [пробелы] .exe
     * Updates.doc [пробелы] .exe

Распространение через P2P

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:

 
     * Ahead Nero 7.exe
     * Kaspersky Antivirus 5.0.exe
     * Microsoft Office 2003 Crack, Working!.exe
     * Microsoft Office XP working Crack, Keygen.exe
     * Microsoft Windows XP, WinXP Crack, working Keygen.exe
     * New document.doc [пробелы] .exe
     * New patch.exe
     * Porno pics arhive, xxx.exe
     * Porno Screensaver.scr
     * Porno, sex, oral, anal cool, awesome!!.exe
     * Serials.txt [пробелы] .exe
     * WinAmp 6 New!.exe
     * Windown Longhorn Beta Leak.exe
     * Windows Sourcecode update.doc [пробелы] .exe
     * XXX hardcore images.exe

Прочее

Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

 127.0.0.1 www.trendmicro.com 
 127.0.0.1 www.symantec.com 
 127.0.0.1 us.mcafee.com 
 127.0.0.1 liveupdate.symantec.com 
 127.0.0.1 f-secure.com 
 127.0.0.1 trendmicro.com 
 127.0.0.1 www.sarc.com 
 127.0.0.1 www.pandasoftware.com 
 127.0.0.1 symantec.com 
 127.0.0.1 www.mcafee.com 
 127.0.0.1 sophos.com 
 127.0.0.1 mcafee.com 
 127.0.0.1 www.sophos.com 
 127.0.0.1 www.kaspersky.com 
 127.0.0.1 ca.com 
 127.0.0.1 www.my-etrust.com 
 127.0.0.1 download.mcafee.com 
 127.0.0.1 www.f-secure.com 
 127.0.0.1 kaspersky.com 
 127.0.0.1 www.nai.com 
 127.0.0.1 pandasoftware.com 
 127.0.0.1 www.ca.com

Также червь имеет функцию загрузки других файлов из интернета и запуска их на компьютере пользователя. С сервера http://j***r.biz червь может загружать файл proto.com, копировать в системный каталог Windows и запускать на исполнение.