Lebreat : un ver à la santé de Symantec
Lebreat (*), nom d'un nouveau ver en circulation sur nos écrans. Ce ténia ...
Lebreat (*), nom d'un nouveau ver en circulation sur nos écrans. Ce ténia numérique est de type mass-mailer et a été trouvé galopant sur les réseaux dès le 15 juillet dernier, et s'est déjà accoquiné de deux variantes. Le ver ouvre aussi une porte dérobée, un cheval de Troie et tente des attaques par déni de service afin de noyer le site de Symantec.
Tel Sasser, funeste bestiau dont l'auteur a été condamné il y a peu, ce lombric exploite la vulnérabilité de LSASS (voir le bulletin original de Microsoft sur ce thème). Envoyé par mail, il alerte l'utilisateur d'une ponction de 500 dollars sur son compte bancaire via sa carte de crédit, une suspension de compte mail, une mise à jour de mot de passe, etc. tout en invitant le destinataire à consulter la pièce jointe pour avoir plus d'informations sur l'évènement. Une pièce jointe qui pourra selon les cas prendre la forme d'un fichier dénommé payment.doc .scr, help.doc .exe, archive.exe, read.exe, etc.
Afin de parfaire son efficacité et faire plier les convictions, l'expéditeur apparent aura pour domaine @symantec.com, @msn.com, @yahoo.com, @hotmail.com, etc.
Pour finir, il va ouvrir un FTP sur la machine hôte. Cerise sur gâteau véreux, il modifiera plusieurs clés de registre et tentera de mettre à terre le pare-feu Windows, la restauration du système, les outils du registres ou encore l'auto-update. Il essaiera enfin d'attaquer le site de Symantec par le biais d'un déni de service afin de rendre son accès impossible pour l'utilisateur... Bref, un joli et somptueux cocktail dont on pourra avoir la recette détaillée sur le site de Sophos, F-Secure ou celui Symantec.
On pourra consulter pour information, la page du CERT qui dresse une petite listes des vers qui exploitent déjà la faille incriminée.
(*) Win32.Reatle.A [Computer Associates], Lebreat [F-Secure], Net-Worm.Win32.Lebreat.gen [Kaspersky Lab], W32/Reatle.gen@MM [McAfee], W32/Lebreat-A [Sophos], WORM_REATLE.A [Trend Micro]
Tel Sasser, funeste bestiau dont l'auteur a été condamné il y a peu, ce lombric exploite la vulnérabilité de LSASS (voir le bulletin original de Microsoft sur ce thème). Envoyé par mail, il alerte l'utilisateur d'une ponction de 500 dollars sur son compte bancaire via sa carte de crédit, une suspension de compte mail, une mise à jour de mot de passe, etc. tout en invitant le destinataire à consulter la pièce jointe pour avoir plus d'informations sur l'évènement. Une pièce jointe qui pourra selon les cas prendre la forme d'un fichier dénommé payment.doc
Afin de parfaire son efficacité et faire plier les convictions, l'expéditeur apparent aura pour domaine @symantec.com, @msn.com, @yahoo.com, @hotmail.com, etc.
Pour finir, il va ouvrir un FTP sur la machine hôte. Cerise sur gâteau véreux, il modifiera plusieurs clés de registre et tentera de mettre à terre le pare-feu Windows, la restauration du système, les outils du registres ou encore l'auto-update. Il essaiera enfin d'attaquer le site de Symantec par le biais d'un déni de service afin de rendre son accès impossible pour l'utilisateur... Bref, un joli et somptueux cocktail dont on pourra avoir la recette détaillée sur le site de Sophos, F-Secure ou celui Symantec.
On pourra consulter pour information, la page du CERT qui dresse une petite listes des vers qui exploitent déjà la faille incriminée.
(*) Win32.Reatle.A [Computer Associates], Lebreat [F-Secure], Net-Worm.Win32.Lebreat.gen [Kaspersky Lab], W32/Reatle.gen@MM [McAfee], W32/Lebreat-A [Sophos], WORM_REATLE.A [Trend Micro]
Source :
Branchez-vous
Marc Rees
le 20 juillet 2005 à 09:15
(4 461
lectures)
Actualités et brèves relatives
- 08 / 07 / 2005 : Les virus sasser à se faire condamner
- 17 / 06 / 2005 : Virus, Antivirus : gitane, moi non plus
- 14 / 06 / 2005 : Skull.L, le faux anti-virus Symbian qui crâne
- 04 / 06 / 2005 : Ben Laden arrêté ? Oussama l'air louche...
- 29 / 05 / 2005 : L'auteur présumé de Sasser bientôt jugé
- 18 / 05 / 2005 : La messagerie AIM visitée par le ver Oscabot
- 12 / 05 / 2005 : Whistler, un cheval de Troie pour se faire malware
- 11 / 05 / 2005 : Symantec dévoile un simulateur de vers
- 04 / 05 / 2005 : Sober, le ver qui vous Coupe du Monde
