Symantec en a plein le DDoS

Par Grégory Le Bras le Lundi 18 Juillet 2005 à 21:25:19

Un ver se propage actuellement sur l'Internet pour "recruter" des ordinateurs afin de coordonner une attaque de déni de service distribué contre le site web de l'éditeur de solutions de sécurité Symantec.

Depuis vendredi, MessageLabs, un fournisseur de services de sécurisation de messageries électroniques, a intercepté près de 13 717 copies de ce ver baptisé "Reatle-A". Depuis 2 autres variantes ont été découvertes.

Le ver dont la première copie aurait été envoyée du nord de l'Irlande, se propage sous la forme d'une pièce jointe dans un courriel ayant les caractéristiques suivantes :

L'objet du message envoyé est sélectionné aléatoirement parmi la liste suivante :

**WARNING** Your Account Currently Disabled.
Bug
Email
Error
Hello
Hi
Importnat Information
info
Mail Delivery System
Message could not be delivered
Password

Le corps du message est sélectionné aléatoirement parmi la liste suivante :

- Binary message is available.
- checkout the attachment.
- document. Please see attached.
- Hello,
- Here are your banks documents
- I was in a hurry and I forgot to attach an important
- Important Notification checkout the attachment for more info.
- The message contains Unicode characters and has been sent as a binary attachment.
- The original message was included as an attachment.
- We have temporarily suspended your email account checkout the attachment for more info.
- You have successfully updated the password of your domain account checkout the attachment for more info.
- Your Account Suspended checkout the document.
- Your credit card was charged for $500 USD. For additional information see the attachment.
- Your password has been updated checkout the document.

La pièce jointe au courriel peut porter l'un des noms suivants :

about.cpl
about.doc.bat
about.scr
account-report.exe
admin.bat
archive.cpl
archive.exe
box.bat
box.scr
data.bat
data.scr
doc.pif
docs.cpl
docs.scr
document.cpl
document.exe
file.cpl
help.doc.exe
inbox.cpl
inbox.exe
order.cpl
order.exe
payment.doc.scr
read.cpl
read.exe
readme.cpl
readme.scr

Si il est exécuté, Reatle-A se copie dans le dossier System de Windows sous le nom de fichier "ccapp.exe" ou "23425_up.exe" puis télécharge et exécute un autre ver à l'adresse "http://j0r.biz/update3.exe".

Ensuite, la bestiole se connecte à un réseau de plusieurs centaines d'ordinateurs zombies contrôlés par l'auteur du ver et commence à envoyer des données au site web de Symantec dans le but de le mettre hors service.

Reatle-A peut également se répandre par les réseaux partagés en déposant une copie de lui-même dans les partages IPC$ et peut se propager en exploitant les failles MS03-039 et MS04-011.

Enfin, le message suivant a été découvert dans le code du ver : "easy to talk but hard to work :) what about working in symantec? :P it is not only a mass mail worm it is also a lsass worm :)".

Un porte parole de Symantec a expliqué que l'infrastructure du site web de la compagnie avait été étudiée pour supporter ce type d'attaque.