Worm.Win32_Reatle-E

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 36890 Octet(s)

Détails techniques:

A son exécution, Reatle-E se copie sous le nom %System%\beagle.exe et dépose un fichier non dangereux sous le nom %Windir%\xsas.jpg.

Le ver dépose aussi le fichier %System%\zipx.dat. Ce fichier .dat est une copie du ver compressée en ZIP ; c'est ce fichier qui sera attaché à l'e-mail pour répandre le ver.

Afin d'être lancé à chaque démarrage, il ajoute une entrée à la base de registre :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Bunx = "%System%\beagle.exe"


N.B.1 : Reatle-E détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

N.B.2 : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Pour désactiver certains outils, Reatle-E modifie certaines entrées de registre :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system
DisableTaskMgr = "1"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools = "1"


Le ver supprime les clés de registre suivantes, si elles existent :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\erthgdr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ICQNet

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\EasyAV

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\KasperskyAVEng

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\erthgdr

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ICQNet

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\EasyAV

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\KasperskyAVEng


Il désactive aussi la "Restauration Système" :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = "dword:00000000"


Reatle-E se propage par e-mail. Pour cela, il récolte les adresses e-mails sur le système infecté et les sauvegarde dans %Windir%\sigma.dat. Il envoie une copie du ver en pièce-jointe en utilisant son propre moteur SMTP :

Expéditeur

C'est une combinaison de noms et de domaines.

- Noms :

admin
support


- Domaines :

@aol.com
@ca.com
@f-secure.com
@kaspersky.com
@mail.com
@mastercard.com
@matrix.com
@mcafee.com
@microsoft.com
@msn.com
@nai.com
@paypal.com
@sarc.com
@security.com
@securityfocus.com
@sophos.com
@symantec.com
@trendmicro.com
@visa.com
@yahoo.com


Objet

Re_

Corps du message

Il peut être l'un d'eux :

- Animals
- foto3 and MP3
- fotogalary and Music
- fotoinfo
- Lovely animals
- Predators
- Screen and Music
- The snake

Pièce-jointe

Son nom est une combinaison de noms de fichiers et d'extensions.

- Noms :

Cat
Cool_MP3
Dog
Doll
Fish
Garry
MP3
Music_MP3
New_MP3_Player


- Extensions :

bat
cmd
com
cpl
exe
pif
scr
zip


Le ver cherche les adresses e-mails dans les fichiers ayant pour extensions :

asp
cgi
htm
html
txt
wab


Cependant, le ver évite d'envoyer son courrier aux adresses contenant les mots suivants :

@microsoft.com
@mm
bugs@
cafee
f-secure
kasp
ntivi
panda
sopho
symantec
trendmicro


Pour se propager, Reatle-E peut tirer profit d'une faille relative à Windows, pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS04-011.

Reatle-E modifie aussi le fichier HOSTS afin d'empêcher l'accès aux sites suivants :

ca.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
mcafee.com
pandasoftware.com
sophos.com
symantec.com
trendmicro.com
us.mcafee.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.pandasoftware.com
www.sarc.com
www.sophos.com
www.symantec.com
www.trendmicro.com


Le code du ver contient les phrases suivantes :

(Breatle): Im sorry to say that but symantec.com will be hacked with mcafee,sophos and kaspersky. I am so sorry and we will see who will play it right me or beagle. Netsky(SkyShit),Beagle or Bagle,Mydoom and Sasser bye bye bitchs. It will be my game cuz the fbi or police are not searching for me to arrest me like ya sasser looooooooooooooooooooooooooooooooooooooooooool (next variants will use a better engine to send thousands of copies to users.) and finally i have 3 word for mcafee reattle.gen.gen is this a name?? lol. It is reatle.gen bitchs. :P

Le ver crée également les mutex suivants :

____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
AdmSkynetJklS003
BreatleAV_-Beagle_-
'D'r'o'p'p'e'd'S'k'y'N'e't'
LK[SkyNet.cz]SystemsMutex
MI[SkyNet.cz]SystemsMutex
SkynetSasserVersionWithPingFast


Ce qui empêche l'exécution simultanée de plusieurs versions du ver sur la machine infectée.




http://www.securiteinfo.com/