Lebreat.C

 

Létrehozva: 2007-11-09, 12:20:36

Utolsó frissítés: 2009-11-09, 17:45:32

Platform: Win32

Típus: trójai

Méret: 15261

Dátum: 2005-07-17

Tömörítő: PE_Patch, MEW

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

---

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/Lebreat.C trójai elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	Win32:Breatel-B
AVG	Exploit.MS04-011
BitDefender	Win32.Worm.Bretle.B
e-Trust	Win32/Reatle.A
F-PROT	W32/Breatel.A@mm
F-Secure	Net-Worm.Win32.Lebreat.c
Ikarus	Trojan-Clicker.Win32.NetBuie.H
Kaspersky	Net-Worm.Win32.Lebreat.c

vírusvédelem	elnevezés
McAfee	W32/Reatle.gen@MM(Virus)
Microsoft	Win32/Reatle.A@mm!CME875
NOD32 (ESET)	Win32/Lebreat.C
Panda	W32/Lebreat.C.worm!C...
Rising Antivirus	Worm.Lebreat.c
Sophos	W32/Lebreat-C
Trend Micro	WORM_REATLE.B
VirusBuster	I-Worm.Lebreat.A

szervezet	elnevezés
Wildlist	W32/Reatle.B-mm

---

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A Win32/Lebreat.C trójai a Windows mappában (alapértelmezés szerint C:\Windows) létrehozza a(z) xzy6.tmp nevű fájlt. A Win32/Lebreat.C trójai a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza az alábbi fájlokat: 23425_up.exe attach.tmp windows.exe 23425_up.exe attach.tmp windows.exe

A trójai kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:

A Win32/Lebreat.C trójai a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "WIN"="C:\WINDOWS\System32\windows.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WIN"="C:\WINDOWS\System32\windows.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"="1" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "WIN"="C:\WINDOWS\System32\windows.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WIN"="C:\WINDOWS\System32\windows.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"="1" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1"

---

E-mail üzenetek

Az e-mail üzenetekben terjedő férgek elsődleges célja, hogy egy másik számítógépet megfertőzzenek. Ezt e-mail üzenetek létrehozásával és elküldésével érik el. Az létrehozott e-mail üzenetek általában tartalmazzák a féreg kódját, de az is előfordulhat, hogy maga a megtámadott számítógép felhasználója tölti azt le az üzenetben megadott hivatkozásról. Az egyes férgek a legkülönfélébb paraméterekkel rendelkező e-mail üzeneteket képesek generálni és elküldeni.

A Win32/Lebreat.C trójai a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.

Hogy az e-mail üzenetekben terjedő vírusok, férgek minél inkább el tudjanak terjedni, a megtámadott számítógépeken e-mail címeket gyűjtenek. Ezeket az e-mail címeket aztán felhasználják egyrészt arra, hogy a vírus, féreg kódját továbbküldjék. Esetenként a megtalált címeket a Feladó mező kitöltésére is használják, meghamisítva ezzel az üzenet forrását.

A Win32/Lebreat.C trójai az alábbi kiterjesztésű fájlokban keres e-mail címeket:

Az összeállított e-mail üzenetek felépítése az alábbi: Feladó A feladó e-mail címében szereplő felhasználó az alábbiak egyike: adam alerts sales steve root teljes lista... adam alerts sales steve root michael helen robert matt jane jack jerry josh joe jon john mary mike ray paul linda leo tom ted fred brenda brent dan bob david alex admin support vissza... A feladó e-mail címéhez az alábbi domanineveket használja fel: nai.com gmail.com trendmicro.com support.com matrix.com teljes lista... nai.com gmail.com trendmicro.com support.com matrix.com aol.com ca.com mcafee.com arcor.com antivirus.com google.com hotmail.com yahoo.com microsoft.com msn.com symantec.com vissza... Címzett A trójai az e-mail üzeneteket az összegyűjtött címekre küldi el. Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre: icrosof .gov panda f-secur icrosoft teljes lista... icrosof .gov panda f-secur icrosoft winrar winzip @mcafee @trendmicro @mm @noreply @sopho @norman @virusli @norton @fsecure @panda @avp @microsoft @symantec vissza... Tárgy A levél lehetséges tárgyai: Message could not be delivered Bug Error Email Mail Delivery System teljes lista... Message could not be delivered Bug Error Email Mail Delivery System Importnat Information **WARNING** Your Account Currently Disabled. Password info Hello vissza... Melléklet A trójai által elküldött e-mail mellékletének neve lehet: about account-report admin archive box teljes lista... about account-report admin archive box data doc docs document file help inbox order payment read readme vissza... A trójai által elküldött e-mail mellékletének kiterjesztése lehet: .bat .cpl .doc .exe .pif .scr .bat .cpl .doc .exe .pif .scr A trójai által elküldött e-mail mellékletének második kiterjesztése az alábbiak egyike: .bat .exe .scr .bat .exe .scr

---

Biztonsági rések, sérülékenységek

Egy, az Interneten terjedő vírus, féreg a felhasználó interaktívitása mellett kihasználhatja a megtámadott számítógép operációs rendszerének, illetve valamely alkalmazásának biztonsági hibáját. Ennek révén képes arra, hogy a megtámadott számítógépen vezérlést szerezzen.

A Win32/Lebreat.C trójai a terjedése érdekében kihasználja a Microsoft MS04-011 jelű sérülékenységét.

Az LSASS.EXE (Local Security Authority Subsystem Service) programban található puffertúlcsordulási hiba távolról történő kódfuttatást tesz lehetővé az érintett rendszeren, mely által a támadó teljesen átveheti a távoli számítógép vezérlését.

---

Támadás az interneten

Sok vírus, féreg képes arra, hogy az interneten támadást indítson más számítógépek ellen, lehetetlenné téve azok használatát.

A Win32/Lebreat.C trójai támadást indít a(z) www.symantec.com webcím ellen.

A trójai a(z) http://j0r.biz/update3.exe webcímről kódot tölt le és hajt végre.

---

Hátsóajtó

A vírusok, férgek egyre gyakrabban nyitnak hátsóajtót a megtámadott számítógépen. Ezzel teljes mértékben átvehetik a számítógép felügyeletét, a támadó azt csinál a számítógépen, amit csak akar: alkalmazásokat futtathat, állíthat le, állományokat tölthet le/fel, jelszavakat, hozzáférési kódokat tulajdoníthat el.

A Win32/Lebreat.C trójai a TCP 445 porton nyit hátsóajtót.

---

Tevékenységek

Minden vírus, féreg azt csinál, amit akar, illetve amit a programozó beleprogramozott. Egyes vírusok, férgek tevékenységüket (büntető rutinjukat) valamilyen eseményhez, legtöbbször valamilyen időponthoz kötik.

feltétel	működése során
tevékenység	a(z) Win32/Sumom kártevőt telepíti a számítógépre

---

Egyebek

A kártékony programok programozói az elkészült kódban üzeneteket, képeket helyezhetnek el, melyeket általában valamilyen formában titkosítanak. A vírusok, programférgek és egyéb kártevők programkódjában sok esetben találunk jellegzetes szövegeket, amelyekben vagy a vírus készítőjének szignóját tisztelhetjük, vagy a vírus működéséhez felhasznált jellemző szövegrészeket (fájl és könyvtárnevek stb.). E szövegek nem mindig ismerhetők fel közvetlenül, többnyire csak a kódolt vírusprogram dekódolásával válnak láthatóvá és olvashatóvá.

A Win32/Lebreat.C trójai programkódjában szereplő, de soha meg nem jelenő szöveg(ek):

easy to talk but hard to work :)
what about working in symantec? :P
it is not only a mass mail worm it is also a lsass worm :)