Worm.Win32_Reatle-C

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 15312 Octet(s)

Détails techniques:

A son exécution, Reatle-C se copie dans le dossier %System% sous le nom windows.exe.

Afin d'être lancé à chaque démarrage de Windows, Reatle-C crée les entées de registre suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WIN = "%System%\windows.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
WIN = "%System%\windows.exe"


N.B. : Reatle-C détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Le ver ajoute les entrées de registre suivantes pour désactiver le Gestionnaire de tâches et l'Éditeur du registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\system
DisableTaskMgr = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\system
DisableRegistryTools = "1"


Reatle-C peut se propager par e-mail en s'attachant en pièce-jointe et en utilisant son propre moteur SMTP.

Voici les caractéristiques du courrier :

Objet

Il peut être l'un d'eux :

**WARNING** Your Account Currently Disabled.
Error
Hello
Importnat Information
Mail Delivery System
Message could not be delivered
Password


Corps du message

Il peut être l'un d'eux :

- Binary message is available.
- checkout the attachment.
- document. Please see attached.
- Hello,
- Here are your banks documents
- I was in a hurry and I forgot to attach an important
- Important Notification checkout the attachment for more info.
- The message contains Unicode characters and has been sent as a binary attachment.
- The original message was included as an attachment.
- We have temporarily suspended your email account checkout the attachment for more info.
- You have successfully updated the password of your domain account checkout the attachment for more info.
- Your Account Suspended checkout the document.
- Your credit card was charged for $500 USD. For additional information see the attachment.
- Your password has been updated checkout the document.

Pièce-jointe

Son nom peut être l'un d'eux :

about.doc{beaucoup d'espaces}.bat
help.doc
{beaucoup d'espaces}.exe
payment.doc
{beaucoup d'espaces}.scr

Le ver envoie le message en donnant une fausse adresse d'expéditeur, en combinant des mots avec des noms de domaine :

Mots

admin
alerts
brenda
brent
david
helen
jerry
linda
michael
robert
sales
steve
support


Noms de domaine

@antivirus.com
@aol.com
@arcor.com
@ca.com
@fsecure
@gmail.com
@google.com
@hotmail.com
@matrix.com
@mcafee
@mcafee.com
@microsoft
@microsoft.com
@msn.com
@nai.com
@noreply
@norman
@norton
@panda
@sopho
@support.com
@symantec
@symantec.com
@trendmicro
@trendmicro.com
@virusli
@yahoo.com


Reatle-C profite d'une faille propre à Windows pour se répandre. Pour plus d'informations concernant cette vulnérabilité, veuillez consulter la page suivante :

Microsoft Security Bulletin MS04-011

Si cette attaque porte ses fruits sur une machine victime, un malware est téléchargé est exécuté : 23425_up.exe en utilisant Trivial File Transfer Protocol (TFTP) depuis l'ordinateur compris. Le fichier est ensuite exécuté.


Si une connexion Internet est établie, Reatle-C télécharge des spywares du style MediaAccess ou 180 Search Solutions.




http://www.infoshackers.com