Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Lebreat.C trójai
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Breatel-B
|
AVG
|
Exploit.MS04-011
|
BitDefender
|
Win32.Worm.Bretle.B
|
e-Trust
|
Win32/Reatle.A
|
F-PROT
|
W32/Breatel.A@mm
|
F-Secure
|
Net-Worm.Win32.Lebreat.c
|
Ikarus
|
Trojan-Clicker.Win32.NetBuie.H
|
Kaspersky
|
Net-Worm.Win32.Lebreat.c
|
McAfee
|
W32/Reatle.gen@MM(Virus)
|
Microsoft
|
Win32/Reatle.A@mm!CME875
|
NOD32 (ESET)
|
Win32/Lebreat.C
|
Panda
|
W32/Lebreat.C.worm!C...
|
Rising Antivirus
|
Worm.Lebreat.c
|
Sophos
|
W32/Lebreat-C
|
Trend Micro
|
WORM_REATLE.B
|
VirusBuster
|
I-Worm.Lebreat.A
|
Telepítés:
|
A Win32/Lebreat.C trójai
a Windows mappában (alapértelmezés szerint C:\Windows) létrehozza
a(z)
xzy6.tmp
nevű fájlt.
A Win32/Lebreat.C trójai
a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza
az alábbi fájlokat:
- 23425_up.exe
- attach.tmp
- windows.exe
- 23425_up.exe
- attach.tmp
- windows.exe
|
A trójai
kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:
|
A Win32/Lebreat.C trójai
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "WIN"="C:\WINDOWS\System32\windows.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WIN"="C:\WINDOWS\System32\windows.exe"
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"="1"
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "WIN"="C:\WINDOWS\System32\windows.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WIN"="C:\WINDOWS\System32\windows.exe"
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"="1"
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1"
|
E-mail üzenetek
A Win32/Lebreat.C trójai
a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Lebreat.C trójai
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
|
Az összeállított e-mail üzenetek felépítése az alábbi:
|
Biztonsági rések, sérülékenységek
A Win32/Lebreat.C trójai
a terjedése érdekében kihasználja a Microsoft MS04-011
jelű sérülékenységét.
Támadás az interneten
A Win32/Lebreat.C trójai
támadást indít a(z)
www.symantec.com
webcím ellen.
A trójai
a(z)
http://j0r.biz/update3.exe
webcímről kódot tölt le és hajt végre.
Hátsóajtó
A Win32/Lebreat.C trójai
a TCP
445
porton nyit hátsóajtót.
Tevékenységek
feltétel |
működése során
|
tevékenység |
a(z)
Win32/Sumom
kártevőt telepíti a számítógépre
|
Egyebek
A Win32/Lebreat.C trójai
programkódjában szereplő, de soha meg nem jelenő szöveg(ek):
easy to talk but hard to work :)
what about working in symantec? :P
it is not only a mass mail worm it is also a lsass worm :)