Cette section destinée aux experts, expose les détails techniques de ce virus.Taille: 15312 Octet(s)
Détails techniques: A son exécution, Reatle-C se copie dans le dossier
%System% sous le nom
windows.exe.
Afin d'être lancé à chaque démarrage de Windows, Reatle-C crée les entées de registre suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WIN = "%System%\windows.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
WIN = "%System%\windows.exe"
N.B. : Reatle-C détermine l'emplacement du répertoire
%System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de
C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de
C:\Windows\System et sous XP :
C:\Windows\System32.
Le ver ajoute les entrées de registre suivantes pour désactiver le Gestionnaire de tâches et l'Éditeur du registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\system
DisableTaskMgr = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\system
DisableRegistryTools = "1"
Reatle-C peut se propager par e-mail en s'attachant en pièce-jointe et en utilisant son propre moteur SMTP.
Voici les caractéristiques du courrier :
Objet
Il peut être l'un d'eux :
**WARNING** Your Account Currently Disabled.
Error
Hello
Importnat Information
Mail Delivery System
Message could not be delivered
Password
Corps du message
Il peut être l'un d'eux :
-
Binary message is available.
-
checkout the attachment.
-
document. Please see attached.
-
Hello,
-
Here are your banks documents
-
I was in a hurry and I forgot to attach an important
-
Important Notification checkout the attachment for more info.
-
The message contains Unicode characters and has been sent as a binary attachment.
-
The original message was included as an attachment.
-
We have temporarily suspended your email account checkout the attachment for more info.
-
You have successfully updated the password of your domain account checkout the attachment for more info.
-
Your Account Suspended checkout the document.
-
Your credit card was charged for $500 USD. For additional information see the attachment.
-
Your password has been updated checkout the document.
Pièce-jointe
Son nom peut être l'un d'eux :
about.doc{beaucoup d'espaces}
.bat
help.doc{beaucoup d'espaces}
.exe
payment.doc{beaucoup d'espaces}
.scr
Le ver envoie le message en donnant une fausse adresse d'expéditeur, en combinant des mots avec des noms de domaine :
Mots
admin
alerts
brenda
brent
david
helen
jerry
linda
michael
robert
sales
steve
support
Noms de domaine
@antivirus.com
@aol.com
@arcor.com
@ca.com
@fsecure
@gmail.com
@google.com
@hotmail.com
@matrix.com
@mcafee
@mcafee.com
@microsoft
@microsoft.com
@msn.com
@nai.com
@noreply
@norman
@norton
@panda
@sopho
@support.com
@symantec
@symantec.com
@trendmicro
@trendmicro.com
@virusli
@yahoo.com
Reatle-C profite d'une faille propre à Windows pour se répandre. Pour plus d'informations concernant cette vulnérabilité, veuillez consulter la page suivante :
Microsoft Security Bulletin MS04-011
Si cette attaque porte ses fruits sur une machine victime, un malware est téléchargé est exécuté :
23425_up.exe en utilisant Trivial File Transfer Protocol (TFTP) depuis l'ordinateur compris. Le fichier est ensuite exécuté.
Si une connexion Internet est établie, Reatle-C télécharge des spywares du style
MediaAccess ou
180 Search Solutions.