Lebreat
gusano de correo masivo
Nombre:
Lebreat
Alias: Breatle, W32/Lebreat@mm, W32/Reatle@MM
Resumen
W32/Lebreat.A@mm
es un mass-mailer y un gusano de red. Fue encontrado en 15 de
Julio, 2005. en un corto tiempo después de haber aparecido
la versión inicial, aparecieron dos variantes más.
El gusano también tiene un backdoor, un troyano downloader
y tiene capacidades de DoS (Denial of Service).
Variante:
W32/Lebreat.A@mm
Descripción
Detallada
El gusano
es un archivo ejecutable PE de aproximadamente 15 kilobytes, empacado
con un archivo MEW comprimido y parchado con PE_Patch.
Instalación
en el Sistema
Cuando
el gusano esta corriendo, crea una mutación llamada "Breatle
Antivirus v1.0". Después se copia así mismo
al directorio del Sistema de Windows como un archivo CCAPP.EXE
y crea una llave de inicio con valores para el archivo en el registro:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Symantec" = "%WinSysDir%\ccapp.exe"
[HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows]
"Symantec" = "%WinSysDir%\ccapp.exe"
donde %WinSysDir%
representa la carpeta del Sistema Windows. Sin embargo la segunda
llave de inicio puede ser diferente para iniciar el archivo. Por
lo que no servirá.
También
el gusano hace una copia de si mismo en la carpeta con el nombre
ATTACH.TMP. Ambos archivos copiados tienen atributos ocultos.
Propagación
en E-mails
Antes
de propagarse en e-mails el gusano busca por direcciones e-mail
en todo el disco duro y RAM drives. Archivos con las siguientes
extensiones son buscadas por dirección e-mail:
asp
txt
adb
tbb
dbx
html
wab
htm
El gusano
evita enviar mensajes a las direcciones e-mail que contengan alguna
de las siguientes cadenas:
@symantec
@microsoft
@avp
@panda
@fsecure
@norton
@virusli
@norman
@sopho
@noreply
@mm
@trendmicro
@mcafee
winzip
winrar
icrosoft
f-secur
panda
.gov
icrosof
El gusano
usa los siguientes textos en los temas de mensajes infectados
que son enviados:
Hi
Hello
info
Password
**WARNING** Your Account Currently Disabled
Importnat Information
Mail Delivery System
Email
Error
Bug
Message could not be delivered
El gusano
usa los siguientes textos en el cuerpo de los mensajes infectados
que son enviados:
Your credit
card was charged for $500 USD. For additional
information see the attachment.
Binary message
is available.
The message
contains Unicode characters and has been sent as a
binary attachment.
Here are your
banks documents
The original
message was included as an attachment.
We have temporarily
suspended your email account checkout the
attachment for more info.
You have successfully
updated the password of your domain
account checkout the attachment for more info.
Important
Notification checkout the attachment for more info.
Your Account
Suspended checkout the document.
Your password
has been updated checkout the document.
Checkout the attachment.
Hello,
I was in a hurry and I forgot to attach an important
document. Please see attached.
El gusano
usa los siguientes nombres en los archivos adjuntos en mensajes
infectados que son enviados:
account-report.exe
payment.doc <a lot of spaces> .scr
about.doc <a lot of spaces> .bat
help.doc <a lot of spaces> .exe
about.cpl
archive.cpl
about.scr
archive.exe
box.bat
inbox.cpl
box.scr
inbox.exe
docs.cpl
admin.bat
docs.scr
read.cpl
readme.cpl
read.exe
readme.scr
data.scr
file.cpl
data.bat
document.cpl
doc.pif
document.exe
order.cpl
order.exe
El gusano
falsifica la dirección e-mail del que envía. El
nombre del que envía para falsificar su dirección
e-mail es seleccionado de las siguientes variantes:
support
admin
alex
david
bob
dan
brent
brenda
fred
ted
tom
leo
linda
paul
ray
mike
mary
john
jon
joe
josh
jerry
jack
jane
matt
robert
helen
michael
root
steve
sales
alerts
adam
El nombre
del dominio para falsificar la dirección e-mail es seleccionado
de las siguientes variantes:
@symantec.com
@msn.com
@microsoft.com
@yahoo.com
@hotmail.com
@google.com
@antivirus.com
@arcor.com
@mcafee.com
@ca.com
@aol.com
@matrix.com
@support.com
@trendmicro.com
@gmail.com
@google.com
@nai.com
El gusano
también se extiende usando la vulnerabilidad LSASS (MS04-011).
Ver el Boletín de Microsoft para más información
de esta vulnerabilidad, y corra las actualizaciones de Windows
para parchar su sistema ahora.
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Carga dañina
El gusano Lebreat trata de burlar la seguridad de Microsoft
Windows modificando o creando valores de llaves de Registro específicos.
El gusano trata de deshabilitar la restitución del Sistema,
el registro de herramientas, la auto-actualización, el
Centro de Notificaciones de Seguridad y las tareas del administrador.
Sin embargo estas acciones no tienen éxito (por lo menos
en nuestro sistema de pruebas).
El gusano abre un backdoor en TCP puerto 8885. Este backdoor es
un servidor ftp que permite manipular los archivos del usuario.
El gusano tiene capacidades de un troyano downloader. Este se
descarga y corre un archivo llamado UPDATE3.EXE del website "j0r.biz".
Este archivo es un mass-mailer escrito en Virtual Basic. Es detectado
genéricamente como "Email-Worm.Win32.generic".
También el gusano trata de hacer un ataque a DoS (Denial
of Service) en el website de Symantec.
VARIANTE: W32/Lebreat.B@mm
VARIANTE: W32/Lebreat.C@mm
Estas son las variantes del gusano W32/Lebreat.A@mm. La mayoría
de las funcionalidades de estas variantes son idénticas.
La diferencia es:
La variante .B del gusano se instala a si misma como archivo WINDOWS.exe.
Este también descarga un archivo llamado PROTO.COM del
Website "j0r.biz". La descarga de el archivo es una
variante del backdoor Wootboot y es detectado como "Backdoor.Win32.Wootbot.gen".
La variante .C del gusano también se instala a si misma
como archivo WINDOWS.EXE.
Detección
El Anti-virus F-Secure
detecta el gusano Lebreat.A con las siguientes actualizaciones:
FSAV_Database_Version]
Version=2005-07-15_03
El Anti-virus F-Secure detecta Lebreat .B y .C con las
siguientes actualizaciones:
FSAV_Database_Version]
Version=2005-07-15_04
