Worm.Win32_Reatle-B

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 15261 Octet(s)

Détails techniques:

A son exécution, Reatle-B se copie dans le dossier %System% sous le nom windows.exe.

Il télécharge ensuite un autre ver à cette adresse :

http://j0r.biz/update3.exe

Puis il l'exécute.

Afin d'être lancé à chaque démarrage de Windows, Reatle-B crée les entées de registre suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WIN = "%System%\windows.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
WIN = "%System%\windows.exe"

N.B. : Reatle-B détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Le ver ajoute les entrées de registre suivantes pour désactiver le Gestionnaire de tâches et l'Éditeur du registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\system
DisableTaskMgr = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\system
DisableRegistryTools = "1"

Reatle-B peut se propager par e-mail en s'attachant en pièce-jointe et en utilisant son propre moteur SMTP.

Voici les caractéristiques du courrier :

Objet

Il peut être l'un d'eux :

**WARNING** Your Account Currently Disabled.
Bug
Email
Error
Hello
Hi
Importnat Information
info
Mail Delivery System
Message could not be delivered
Password

Corps du message

Il peut être l'un d'eux :

- Binary message is available.
- checkout the attachment.
- document. Please see attached.
- Hello,
- Here are your banks documents
- I was in a hurry and I forgot to attach an important
- Important Notification checkout the attachment for more info.
- The message contains Unicode characters and has been sent as a binary attachment.
- The original message was included as an attachment.
- We have temporarily suspended your email account checkout the attachment for more info.
- You have successfully updated the password of your domain account checkout the attachment for more info.
- Your Account Suspended checkout the document.
- Your credit card was charged for $500 USD. For additional information see the attachment.
- Your password has been updated checkout the document.

Pièce-jointe

Son nom peut être l'un d'eux :

about.cpl
about.doc{beaucoup d'espaces}.bat
about.scr
account-report.exe
admin.bat
archive.cpl
archive.exe
box.bat
box.scr
data.bat
data.scr
doc.pif
docs.cpl
docs.scr
document.cpl
document.exe
file.cpl
help.doc{spaces}.exe
inbox.cpl
inbox.exe
order.cpl
order.exe
payment.doc{spaces}.scr
read.cpl
read.exe
readme.cpl
readme.scr

Le ver envoie le message en donnant une fausse adresse d'expéditeur, en combinant des mots avec des noms de domaine :

Mots

admin
alerts
brenda
brent
david
helen
jerry
linda
michael
robert
sales
steve
support

Noms de domaine

@antivirus.com
@aol.com
@arcor.com
@ca.com
@gmail.com
@google.com
@hotmail.com
@matrix.com
@mcafee.com
@microsoft.com
@msn.com
@nai.com
@support.com
@symantec.com
@trendmicro.com
@yahoo.com


Reatle-B profite d'une faille propre à Windows pour se répandre. Pour plus d'informations concernant cette vulnérabilité, veuillez consulter la page suivante :

Microsoft Security Bulletin MS04-011


Reatle-B porte également une attaque de type Déni de Service (DoS : Denial of Service) contre l'url www.symantec.com en floodant l'url par des pings réseau.