Descrizione Breve

W32/Lebreat.A@mm è sia un mass-mailer sia un network worm. Dopo la scoperta della prima versione, sono state rilevate altre due varianti. Il worm include al suo interno una backdoor, un trojan downloader e la possibilità di eseguire attacchi di tipo DoS (Denial of Service).

Descrizione Dettagliata

Il worm è un file eseguibile di tipo PE, con dimensione 15 KBytes compresso con MEW e successivamente con PE_Patch.

Installazione nel Sistema

Una volta eseguito crea un mutex con nome 'Breatle AntiVirus v1.0' e, successivamente, crea una copia di sè stesso con nome "CCAPP.EXE".

A questo punto il worm crea alcune chiavi nel registro di sistema che si riferiscono al file CCAPP.EXE generato in precedenza

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Symantec" = "%WinSysDir%\ccapp.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"Symantec" = "%WinSysDir%\ccapp.exe"

Durante la fase d'installazione viene creato il seguente file nella cartella di sistema: ATTACH.TMP .Entrambi i file hanno attributi nascosti.

Propagazione e-mail

Prima di propagarsi il worm esegue una scansione del disco rigido e dei RAM drive cercado di collezionare indirizzi e-mail. Saranno cercati gli indirizzi nei file con le seguenti estensioni:

asp
txt
adb
tbb
dbx
html
wab
htm

Il worm non si trasmette agli indirizzi e-mail che contengono le seguenti sottostringhe:

@symantec
@microsoft
@avp
@panda
@fsecure
@norton
@virusli
@norman
@sopho
@noreply
@mm
@trendmicro
@mcafee
winzip
winrar
icrosoft
f-secur
panda
.gov
icrosof

Il subject della e-mail viene scelto tra uno dei seguenti:

Hi
Hello
info
Password
**WARNING** Your Account Currently Disabled
Importnat Information
Mail Delivery System
Email
Error
Bug
Message could not be delivered

Il body della e-mail viene scelto da una lista predifinita:

Your credit card was charged for $500 USD. For additional
information see the attachment.

Binary message is available.

The message contains Unicode characters and has been sent as a
binary attachment.

Here are your banks documents

The original message was included as an attachment.

We have temporarily suspended your email account checkout the
attachment for more info.

You have successfully updated the password of your domain
account checkout the attachment for more info.

Important Notification checkout the attachment for more info.

Your Account Suspended checkout the document.

Your password has been updated checkout the document.

checkout the attachment.

Hello,
I was in a hurry and I forgot to attach an important
document. Please see attached.

L'allegato viene scelto tra uno dei seguenti:

account-report.exe
payment.doc <a lot of spaces> .scr
about.doc <a lot of spaces> .bat
help.doc <a lot of spaces> .exe
about.cpl
archive.cpl
about.scr
archive.exe
box.bat
inbox.cpl
box.scr
inbox.exe
docs.cpl
admin.bat
docs.scr
read.cpl
readme.cpl
read.exe
readme.scr
data.scr
file.cpl
data.bat
document.cpl
doc.pif
document.exe
order.cpl
order.exe

L' indirizzo e-mail del mittente è falsificato, e viene scelto tra uno dei seguenti:

support
admin
alex
david
bob
dan
brent
brenda
fred
ted
tom
leo
linda
paul
ray
mike
mary
john
jon
joe
josh
jerry
jack
jane
matt
robert
helen
michael
root
steve
sales
alerts
adam

Il dominio del mittente falsificato viene scelto tra uno dei seguenti:

@symantec.com
@msn.com
@microsoft.com
@yahoo.com
@hotmail.com
@google.com
@antivirus.com
@arcor.com
@mcafee.com
@ca.com
@aol.com
@matrix.com
@support.com
@trendmicro.com
@gmail.com
@google.com
@nai.com

W32/Lebreat.A@mm per diffondersi sfrutta la seguente vulnerabilità: LSASS exploit (MS04-011). Il bolletino riguardante questa vulnerabiltà è disponibile al seguente link:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Payload

Lebreat tenta di modificare i settaggi di Sicurezza di Microsoft Windows in modo da creare, o modifcare, specifici valori nelle chiavi di registro. Il worm tenta di disabilitare: System Restore, Registry tools, autoupdate, Security Center notifications e il Task Manager. Tuttavia queste azioni sono infruttuose (almeno sui nostri sistemi di prova).

In aggiunta apre una backdoor che rimane in ascolto sulla porta TCP 8885. Questa backdoor, in realtà, è un server ftp che tenta di modificare file dell'utente.

Il worm prima preleva e successivamente esegue il file UPDATE3.EXE dal sito 'j0r.biz'. Questo file è un mass-mailer scritto in Visual-Basic. La rilevazione viene genericamente fatta con il nome di Email-Worm.Win32.generic'.

Infine cerca di eseguire un attacco di tipo Denial of Service verso il sito della Symantec.

VARIANTE: W32/Lebreat.B@mm
VARIANTE:W32/Lebreat.C@mm

Queste sono varianti minori del worm W32/Lebreat.A@mm ed hanno caratteristiche di funzionamento uguali a W32/Lebreat.A@mm

La variante B del worm si installa nel sistema con nome WINDOWS.EXE. Questo file preleva e successivamente esegue il file PROTO.COM dal sito 'j0r.biz'. Questo file è una variante di Wootbot backdoor. La rilevazione viene genericamente fatta con il nome di 'Backdoor.Win32.Wootbot.gen'.

La variante C del worm si installa nel sistema con nome WINDOWS.EXE.

Rilevazione

F-Secure Anti-Virus rileva Lebreat.A con i seguenti aggiornamenti:

[FSAV_Database_Version]

Version=2005-07-15_03

F-Secure Anti-Virus rileva Lebreat.B C. con i seguenti aggiornamenti:

[FSAV_Database_Version]

Version=2005-07-15_04

Descrizione: Mikko Hypponena, 15 Luglio 2005

Dettagli Tecnici: Alexey Podrezov, 15 Luglio 2005

F-Secure Corporation