Worm.Win32_Reatle-D

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 46080 Octet(s)

Détails techniques:

A son exécution, Reatle-D se copie sous le nom %System%\system23.exe et dépose un fichier non dangereux sous le nom %Windir%\xsas.jpg (voir capture d'écran).

Afin d'être lancé à chaque démarrage, il ajoute une entrée à la base de registre :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
System = "%System%\system23.exe"


N.B.1 : Reatle-D détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

N.B.2 : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Reatle-D ajoute aussi 2 entrées de registre pour sa propre installation :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system
DisableTaskMgr = "dword:00000001"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools = "dword:00000001"


Reatle-D se propage par e-mail en envoyant une copie du ver, par son propre moteur SMTP :

Expéditeur

C'est une combinaison de noms et de domaines.

- Noms :

admin
brian
james
kevin
robert
sales
smith
support


- Domaines :

@aol.com
@ca.com
@f-secure.com
@kaspersky.com
@mail.com
@mastercard.com
@matrix.com
@mcafee.com
@microsoft.com
@msn.com
@nai.com
@paypal.com
@sarc.com
@security.com
@securityfocus.com
@sophos.com
@symantec.com
@trendmicro.com
@visa.com
@yahoo.com


Objet

Il peut être l'un d'eux :

Accounts department
Document
Encrypted document
Fax Message
Fw: Document
Fw: Informartion
Fw: Message
Fw: Warning
Good
HaHa
Hello!
Hey!
Hi!
Hi! :-)
Message
My photos
Notification
Price
Protected message
Re: Document
Re: Good!
Re: Hello
Re: Hi
Re: Text message
Re: Thanks
Re: Warning
Re: Well!
Re: Your file
Thank you!
Thanks!
The Account
Thx
Warning
Well..
Your Account
Your file!!


Corps du message

Il peut être l'un d'eux :

- :)
- :P
- Attach tells everything.
- Attached file tells everything.
- Bye
- Bye :)
- Check attached file for details.
- Check attached file.
- Cya
- Empty
- Here take your credit card information
- Looking forward for a response.
- Message is in attach.
- Pay attention at the attach.
- Read the attach.
- Your account has been blocked for more
- your file!!

Pièce-jointe

Son nom est une combinaisonde noms de fichiers et d'extensions.

- Noms :

Details
Document
Info
Message
MoreInfo
Readme
text_document
Updates


Extensions :

.bat
.cmd
.cpl
.exe
.pif
.scr


Pour se propager, Reatle-D peut tirer profit d'une faille relative à Windows, pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS04-011


Le ver ouvre les ports 3351 et 8190 de l'ordinateur infecté permattant ainsi un accès non autorisé à distance, afin de :

- Se connecter en utilisant différents noms et mots de passe
- Redémarrer le système infecté

Reatle-D modifie aussi le fichier HOSTS afin d'empêcher l'accès aux sites suivants :

ca.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
mcafee.com
pandasoftware.com
sophos.com
symantec.com
trendmicro.com
us.mcafee.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.pandasoftware.com
www.sarc.com
www.sophos.com
www.symantec.com
www.trendmicro.com



Le code du ver contient les phrases suivantes :

don't have any anti virus with reattle name ( double tt ) hahah.)
this is my show for symantec and mcafee.
Netsky(SkyShit),Beagle or Bagle,Mydoom and Sasser bye bye bitchs.
It will be my game cuz the fbi or police are not searching for me
to arrest me like ya sasser looooooooooooooooooooooooooooooooooooooooooool
(next variants will use a better engine to send
thousands of copies to users.) :P


Le ver crée également les mutex suivants :

'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
____--->>>>U<<<<--____
AdmSkynetJklS003
LK[SkyNet.cz]SystemsMutex
MI[SkyNet.cz]SystemsMutex
SkynetSasserVersionWithPingFast


Ce qui empêche l'exécution simultanée de plusieurs versions du ver sur la machine infectée.

Capture(s) d'écran:

Reatle-D



http://www.blocus-zone.com/