Worm.Win32_Reatle-F

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 61291 Octet(s)

Détails techniques:

Quand il est exécuté, Reatle-F se copie sous le nom %System%\winhost.exe et modifie le registre afin d'être lancé à chaque démarrage :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\winhost = "%System%\winhost.exe"

N.B. : Reatle-F détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Le ver se copie aussi sous le nom "%System%\winhost.tmp.

Le ver dépose les fichiers "beagle.exe" et "mcafee.exe" dans le répertoire %System%, ainsi que "bagle.exe" et "scan.exe" dans le répertoire %Windir%.
Les fichiers "beagle.exe" et "bagle.exe" sont identiques et font parti de la famille du ver Bagle. Les fichiers "mcafee.exe" et "scan.exe" sont également identiques et sont un seul et même virus : Reaplug-A.

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Le ver crée également plusieurs mutex nommés "Breatle-X-Beagle", "MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D" et "_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.


Reatle-F est capable de se répandre par e-mail en envoyant une copie du ver en pièce-jointe.

L'adresse de l'expéditeur est évidemment faussée par une combinaison de mot et de noms de domaine :

Mots :

root
admin
webmaster
support


Noms de domaine :

@sarc.com
@msn.com
@f-secure.com
@securityfocus.com
@security.com
@kaspersky.com
@symantec.com
@sophos.com
@yahoo.com
@mcafee.com
@microsoft.com
@ca.com
@aol.com


Exemple : [email protected] ou [email protected]

Le ver parcourt tous les disques non amovibles à la recherche de fichiers pouvant contenir des adresses e-mails. Ces fichiers ont les extensions suivantes :

xml
jsp
dbx
adb
cgi
sht
wab
asp
php
txt
eml
html
htm


Le ver évite d'envoyer son e-mail aux adresses contenant les mots suivants :

winzip
winrar
virus
update
unix
support
spam
sopho
samples
root@
rating@
postmaster@
pgp
panda
ntivi
norton
noreply
noone@
nobody@
news
local
listserv
linux
kasp
info@
icrosoft
help@
google
gold-certs@
free-av
feste
f-secur
contract@
certific
cafee
bugs@
bsd
anyone@
admin
abuse
@msn
@microsoft
@messagelab
@iana
@foo
@avp


Reatle-F stocke ces adresses dans le fichier "%Windows%\Sgm32.dll.

Reatle-F utilise son propre moteur SMTP. Il envoie une requête "DNS MX" pour trouver un serveur mail approprié pour chaque domaine.

Le message envoyé possède les caractéristiques suivantes :

Sujet

L'un d'eux :

Encrypted document
Re: Hi
Site changes
Forum notify
Re: Protected message
Protected message
Fax Message
Update
Changes..
Notification
Re: Message Notify
Re: Incoming Msg
Re: Incoming Message
Incoming message
Re: Document
Re: Text message
Re: Thanks :)
Re: Thank you!
Re: Yahoo!
Re:
Re: Hello
Re: Msg reply


Corps du message

L'un d'eux :

Here is the file.
Message is in attach
See the attached file for details.
Pay attention at the attach.
Check attached file.
Check attached file for details.
Attached file tells everything.
Attach tells everything.
Please, read the document.
Your document is attached.
Please, have a look at the attached file.
See attach.
More info is in attach
Try this.
Your file is attached.
Read the attach.


Pièce-jointe

Le nom du fichier peut être l'un d'eux :

text_document.doc
Updates.doc
Readme.doc
MoreInfo.doc
Message.doc
Information.doc
Info.doc
Document.doc
Details.doc


Exemple : text_document.doc{beaucoup d'espaces}.exe


Reatle-F peut aussi se propager grâce à 2 vulnérabilités de Windows. Si il parvient à exploiter ces failles, il exécute un bout de code, sur la machine vulnérable, afin de récupérer une copie du ver via un serveur FTP, installé sur le système de la victime, port 9958.

Pour plus d'informations sur ces failles, veuillez consulter les liens ci-dessous :

- Microsoft Security Bulletin MS04-011
- Microsoft Security Bulletin MS05-039

Reatle-F a aussi la possibilité de se répandre dans les dossiers partagés du système infecté. Pour cela, il cherche tous les noms de dossiers contenant la chaîne "shar".
Dès qu'il les a trouvés, Reatle-F se copie de nombreuses fois sous plusieurs noms :

XXX hardcore images.exe
Windows Sourcecode update.doc
{beaucoup d'espaces}.exe
Windown Longhorn Beta Leak.exe
WinAmp 6 New!.exe
Serials.txt
{beaucoup d'espaces}.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
New patch.exe
New document.doc
{beaucoup d'espaces}.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Office 2003 Crack, Working!.exe
Kaspersky Antivirus 5.0.exe
Ahead Nero 7.exe



Reatle-F modifie le fichier HOSTS en redirigeant l'accès à certains sites vers le localhost (127.0.0.1).
Ainsi, l'utilisateur de la machine infecté ne peut accéder aux sites suivants :

www.ca.com
pandasoftware.com
www.nai.com
kaspersky.com
www.f-secure.com
download.mcafee.com
www.my-etrust.com
ca.com
www.kaspersky.com
www.sophos.com
mcafee.com
sophos.com
www.mcafee.com
symantec.com
www.pandasoftware.com
www.sarc.com
trendmicro.com
f-secure.com
liveupdate.symantec.com
us.mcafee.com
www.symantec.com
www.trendmicro.com



Reatle-F supprime plusieurs entrées de registre :

HKLM\Software\Microsoft\Windows\Currentversion\Run\winhost.exe
HKCU\Software\Microsoft\Windows\Currentversion\Run\winhost.exe
HKLM\Software\Microsoft\Windows\Currentversion\Run\erthgdr
HKCU\Software\Microsoft\Windows\Currentversion\Run\erthgdr
HKLM\Software\Microsoft\Windows\Currentversion\Run\erthgdr2
HKCU\Software\Microsoft\Windows\Currentversion\Run\erthgdr2
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WINDOWS SYSTEM
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WINDOWS SYSTEM
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\csm Win Updates
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\csm Win Updates
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WinDrg32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinDrg32
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Wintbp.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Wintbp.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Wintbpx.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Wintbpx.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wintnpx.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\wintnpx.exe


Reatle-F tente des attaques par déni de service (DoS) contre les sites www.fbi.gov et www.sophos.com.


Le ver peut télécharger une variante du virus Rbot, sur l'url http://j0r.biz/proto.com et sauvegarder ce fichier dans le répertoire %System%.


Dans le corps du virus, on peut trouver le texte suivant :

(Breatle): Microsoft don't worry about MS05-039. It is not dangerous like lsass buffer overflow because most of users use a firewall and by the way i know zotob author. It is in my contacts list but i have to delete zotob for some reasons. If you want zotob author for a crime i can tell you his email, information about his country and etc so you can arrest him easily but you have to answer with yes. Because i want to know if you want him or not. If you want him i will release another variant contains information about him ( added some new things + fixed some bugs and added pnp exploit (MS05-039)).




http://www.aideinfo.com/