Net-Worm.Win32.Lebreat.m
Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows.
Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), имеет размер 61291 байт.
Червь распространяется, используя уязвимости Microsoft Windows Plug and Play Service Vulnerability (MS05-039) и Microsoft Windows LSASS (MS04-011).
Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Также червь распространяется через файлообменные сети.
Инсталляция
После запуска червь копирует себя в системный каталог Windows со следующими именами:
%System%\winhost.exe %System%\winhost.tmp
Затем червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winhost"="%System%\winhost.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Червь также создает несколько своих копий с различными именами в корневом каталоге диска C: и в системном каталоге Windows.
Червь создает следующие файлы, детектируемые Антивирусом Касперского как Email-Worm.Win32.Bagle.bw:
%System%\beagle.exe %Windir%\bagle.exe
Также создаются файлы, детектируемые Антивирусом Касперского как Net-Worm.Win32.Lebreat.i:
%System%\mcafee.exe %Windir%\scan.exe
В корневом каталоге Windows червь создает текстовый файл с именем sgm32.dll:
%Windir%\sgm32.dll
В данный файл червь записывает найденные на зараженном компьютере адреса электронной почты.
Распространение через интернет
Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимостей LSASS или Plug and Play, запускает на удаленной машине свой код.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:
adb asp cgi dbx eml htm html jsp php sht txt wab xml
При этом червем игнорируются адреса, содержащие следующие подстроки:
@avp. @foo @iana @messagelab @microsoft @msn abuse admin anyone@ bsd bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply norton ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix update virus winrar winzip
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Отправитель:
Комбинируется по частям из имени и домена отправителя:
Имя:
Выбирается из списка:
* root
* webmaster Домен отправителя:
Выбирается из списка:
* @aol.com
* @ca.com
* @f-secure.com
* @kaspersky.com
* @mcafee.com
* @microsoft.com
* @msn.com
* @sarc.com
* @security.com
* @securityfocus.com
* @sophos.com
* @symantec.com
* @trendmicro.com
* @yahoo.com Тема письма:
Выбирается из списка:
* Changes..
* Encrypted document
* Fax Message
* Forum notify
* Incoming message
* Notification
* Protected message
* Re:
* Re: Document
* Re: Hello
* Re: Hi
* Re: Incoming Message
* Re: Incoming Msg
* Re: Message Notify
* Re: Msg reply
* Re: Protected message
* Re: Text message
* Re: Thank you!
* Re: Thanks :)
* Re: Yahoo!
* Site changes
* Update Текст письма:
Выбирается из списка:
* Attach tells everything.
* Attached file tells everything.
* Check attached file for details.
* Check attached file.
* Here is the file.
* Message is in attach
* More info is in attach
* Pay attention at the attach.
* Please, have a look at the attached file.
* Please, read the document.
* Read the attach.
* See attach.
* See the attached file for details.
* Try this.
* Your document is attached.
* Your file is attached.Имя файла-вложения:
Выбирается из списка:
* Details.doc [пробелы] .exe
* Document.doc [пробелы] .exe
* Info.doc [пробелы] .exe
* Information.doc [пробелы] .exe
* Message.doc [пробелы] .exe
* MoreInfo.doc [пробелы] .exe
* Readme.doc [пробелы] .exe
* text_document.doc [пробелы] .exe
* Updates.doc [пробелы] .exeРаспространение через P2P
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:
* Ahead Nero 7.exe
* Kaspersky Antivirus 5.0.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* New document.doc [пробелы] .exe
* New patch.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt [пробелы] .exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc [пробелы] .exe
* XXX hardcore images.exe Прочее
Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:
127.0.0.1 www.trendmicro.com 127.0.0.1 www.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 f-secure.com 127.0.0.1 trendmicro.com 127.0.0.1 www.sarc.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 symantec.com 127.0.0.1 www.mcafee.com 127.0.0.1 sophos.com 127.0.0.1 mcafee.com 127.0.0.1 www.sophos.com 127.0.0.1 www.kaspersky.com 127.0.0.1 ca.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.nai.com 127.0.0.1 pandasoftware.com 127.0.0.1 www.ca.com
Также червь имеет функцию загрузки других файлов из интернета и запуска их на компьютере пользователя. С сервера http://j***r.biz червь может загружать файл proto.com, копировать в системный каталог Windows и запускать на исполнение.