Worm.Win32_Reatle-G
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 61440 Octet(s)
Détails techniques:
A son exécution, Reatle-G se copie sous le nom %System%\winhost.exe et modifie le registre afin d'être lancé à chaque démarrage :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\winhost = "%System%\winhost.exe"
Le ver dépose les fichiers "beagle.exe" et "mcafee.exe" dans le répertoire %System%, ainsi que "bagle.exe" et "scan.exe" dans le répertoire %Windir%.
Les fichiers "beagle.exe" et "bagle.exe" sont identiques et font parti de la famille du ver Bagle. Les fichiers "mcafee.exe" et "scan.exe" sont également identiques et sont un seul et même virus : Bratle-A.
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Pour se répandre, le ver tire profit de 2 vulnérabilités de Windows.
Pour plus d'informations sur ces failles, veuillez consulter les liens ci-dessous :
- Microsoft Security Bulletin MS04-011
- Microsoft Security Bulletin MS05-039
Reatle-G est capable de se répandre par e-mail en envoyant une copie du ver en pièce-jointe.
Voici les caractéristiques du message envoyé :
Sujet
L'un d'eux :
Changes..
Encrypted document
Fax Message
Forum notify
Hello
Incoming message
Notification
Protected message
Re:
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
Re: Incoming Msg
Re: Message Notify
Re: Msg reply
Re: Protected message
Re: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Site changes
Update
Corps du message
L'un d'eux :
Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Here is the file.
Message is in attach
More info is in attach
Pay attention at the attach.
Please, have a look at the attached file.
Please, read the document.
Read the attach.
See attach.
See the attached file for details.
Try this.
Your document is attached.
Your file is attached.
Pièce-jointe
Son nom est l'un d'eux suivi de beaucoup d'espaces et de .exe :
Details.doc
Document.doc
Info.doc
Information.doc
Message.doc
MoreInfo.doc
Readme.doc
text_document.doc
Updates.doc
Le ver utilise les domaines suivants pour l'adresse de l'expéditeur :
aol.com
ca.com
f-secure.com
kaspersky.com
mcafee.com
microsoft.com
msn.com
sarc.com
security.com
securityfocus.com
sophos.com
symantec.com
trendmicro.com
yahoo.com
Il évite d'envoyer le message aux adresses contenant les mots suivants :
@avp.
@foo
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
norton
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
virus
winrar
winzip
Reatle-G comporte des fonctionnalités de porte dérobée permettant à un attaquant un accès non autorisé sur le système infecté. Cet attaquant pourra :
- Se connecter en utilisant différents identifiants
- Redémarrer le système
- Télécharger/télédécharger des fichiers
Reatle-G modifie aussi le fichier HOSTS redirigeant ainsi l'accès aux sites suivants vers le localhost (127.0.0.1) :
ca.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
mcafee.com
pandasoftware.com
sophos.com
symantec.com
trendmicro.com
us.mcafee.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.pandasoftware.com
www.sarc.com
www.sophos.com
www.symantec.com
www.trendmicro.com
Le ver crée également un mutex nommé "_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.
Reatle-G contient un message lisible dans son code :
(Breatle): Microsoft don't worry about MS05-039. It is not dangerous like lsass buffer overflow because most of users use a firewall and by the way i know zotob author. It is in my contacts list but i have to delete zotob for some reasons. If you want zotob author for a crime i can tell you his email, information about his country and etc so you can arrest him easily but you have to answer with yes. Because i want to know if you want him or not. If you want him i will release another variant contains information about him ( added some new things + fixed some bugs and added pnp exploit (MS05-039)).
Reatle-G télécharge un fichier malveillant du domaine http://j0r.biz
Taille: 61440 Octet(s)
Détails techniques:
A son exécution, Reatle-G se copie sous le nom %System%\winhost.exe et modifie le registre afin d'être lancé à chaque démarrage :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\winhost = "%System%\winhost.exe"
Le ver dépose les fichiers "beagle.exe" et "mcafee.exe" dans le répertoire %System%, ainsi que "bagle.exe" et "scan.exe" dans le répertoire %Windir%.
Les fichiers "beagle.exe" et "bagle.exe" sont identiques et font parti de la famille du ver Bagle. Les fichiers "mcafee.exe" et "scan.exe" sont également identiques et sont un seul et même virus : Bratle-A.
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Pour se répandre, le ver tire profit de 2 vulnérabilités de Windows.
Pour plus d'informations sur ces failles, veuillez consulter les liens ci-dessous :
- Microsoft Security Bulletin MS04-011
- Microsoft Security Bulletin MS05-039
Reatle-G est capable de se répandre par e-mail en envoyant une copie du ver en pièce-jointe.
Voici les caractéristiques du message envoyé :
Sujet
L'un d'eux :
Changes..
Encrypted document
Fax Message
Forum notify
Hello
Incoming message
Notification
Protected message
Re:
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
Re: Incoming Msg
Re: Message Notify
Re: Msg reply
Re: Protected message
Re: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Site changes
Update
Corps du message
L'un d'eux :
Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Here is the file.
Message is in attach
More info is in attach
Pay attention at the attach.
Please, have a look at the attached file.
Please, read the document.
Read the attach.
See attach.
See the attached file for details.
Try this.
Your document is attached.
Your file is attached.
Pièce-jointe
Son nom est l'un d'eux suivi de beaucoup d'espaces et de .exe :
Details.doc
Document.doc
Info.doc
Information.doc
Message.doc
MoreInfo.doc
Readme.doc
text_document.doc
Updates.doc
Le ver utilise les domaines suivants pour l'adresse de l'expéditeur :
aol.com
ca.com
f-secure.com
kaspersky.com
mcafee.com
microsoft.com
msn.com
sarc.com
security.com
securityfocus.com
sophos.com
symantec.com
trendmicro.com
yahoo.com
Il évite d'envoyer le message aux adresses contenant les mots suivants :
@avp.
@foo
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
norton
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
virus
winrar
winzip
Reatle-G comporte des fonctionnalités de porte dérobée permettant à un attaquant un accès non autorisé sur le système infecté. Cet attaquant pourra :
- Se connecter en utilisant différents identifiants
- Redémarrer le système
- Télécharger/télédécharger des fichiers
Reatle-G modifie aussi le fichier HOSTS redirigeant ainsi l'accès aux sites suivants vers le localhost (127.0.0.1) :
ca.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
mcafee.com
pandasoftware.com
sophos.com
symantec.com
trendmicro.com
us.mcafee.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.pandasoftware.com
www.sarc.com
www.sophos.com
www.symantec.com
www.trendmicro.com
Le ver crée également un mutex nommé "_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.
Reatle-G contient un message lisible dans son code :
(Breatle): Microsoft don't worry about MS05-039. It is not dangerous like lsass buffer overflow because most of users use a firewall and by the way i know zotob author. It is in my contacts list but i have to delete zotob for some reasons. If you want zotob author for a crime i can tell you his email, information about his country and etc so you can arrest him easily but you have to answer with yes. Because i want to know if you want him or not. If you want him i will release another variant contains information about him ( added some new things + fixed some bugs and added pnp exploit (MS05-039)).
Reatle-G télécharge un fichier malveillant du domaine http://j0r.biz
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
