Worm.Win32_Reatle-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 15195 Octet(s)

Détails techniques:

A son exécution, Reatle-A se copie dans le dossier %System% sous le nom ccapp.exe ou 23425_up.exe.

Il télécharge ensuite un autre ver à cette adresse :

http://j0r.biz/update3.exe

Puis il l'exécute.

Afin d'être lancé à chaque démarrage de Windows, Reatle-A crée les entées de registre suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Symantec = "%System%\ccapp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Symantec = "%System%\ccapp.exe


N.B. : Reatle-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Le ver apporte d'autres modifications au registre afin de désactiver des outils systèmes, tels que le Gestionnaire de tâches ou l'Éditeur du registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableTaskMgr = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\security center
FirewallDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\security center
UpdatesDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\security center
AntiVirusDisableNotify = "1"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "1"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\systemrestore
DisableSR = "0"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\security center
FirewallDisableNotify = "1"

HKEY_CURRENT_USER\SOFTWAE\Microsoft\security center
UpdatesDisableNotify = "1"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\security center
AntiVirusDisableNotify = "1"



Reatle-A peut se propager par e-mail en s'attachant en pièce-jointe.

Voici les caractéristiques du courrier :

Objet

Il peut être l'un d'eux :

**WARNING** Your Account Currently Disabled.
Bug
Email
Error
Hello
Hi
Importnat Information
info
Mail Delivery System
Message could not be delivered
Password


Corps du message

Il peut être l'un d'eux :

- Binary message is available.
- checkout the attachment.
- document. Please see attached.
- Hello,
- Here are your banks documents
- I was in a hurry and I forgot to attach an important
- Important Notification checkout the attachment for more info.
- The message contains Unicode characters and has been sent as a binary attachment.
- The original message was included as an attachment.
- We have temporarily suspended your email account checkout the attachment for more info.
- You have successfully updated the password of your domain account checkout the attachment for more info.
- Your Account Suspended checkout the document.
- Your credit card was charged for $500 USD. For additional information see the attachment.
- Your password has been updated checkout the document.

Pièce-jointe

Son nom peut être l'un d'eux :

about.cpl
about.doc.bat
about.scr
account-report.exe
admin.bat
archive.cpl
archive.exe
box.bat
box.scr
data.bat
data.scr
doc.pif
docs.cpl
docs.scr
document.cpl
document.exe
file.cpl
help.doc.exe
inbox.cpl
inbox.exe
order.cpl
order.exe
payment.doc.scr
read.cpl
read.exe
readme.cpl
readme.scr


Le ver envoie le message en donnant une fausse adresse d'expéditeur, en combinant des mots avec des noms de domaine :

Mots

admin
alerts
brenda
brent
david
helen
jerry
linda
michael
robert
sales
steve
support


Noms de domaine

@antivirus.com
@aol.com
@arcor.com
@ca.com
@fsecure
@gmail.com
@google.com
@hotmail.com
@matrix.com
@mcafee
@mcafee.com
@microsoft
@microsoft.com
@msn.com
@nai.com
@noreply
@norman
@norton
@panda
@sopho
@support.com
@symantec
@symantec.com
@trendmicro
@trendmicro.com
@virusli
@yahoo.com


Reatle-A peut se répandre par les réseaux partagés. Il dépose une copie du ver dans les partages IPC$.

Reatle-A utilise également des failles Windows pour se propager. Pour plus d'informations sur ces vulnérabilités, veuillez consulter les pages suivantes :

Microsoft Security Bulletin MS03-039
Microsoft Security Bulletin MS04-011

Les messages suivants ont été trouvés dans le code du ver :

easy to talk but hard to work :)

what about working in symantec? :P

it is not only a mass mail worm it is also a lsass worm :)




http://www.smtechnologie.com