Worm.Win32_Reatle-H

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 61952 Octet(s)

Détails techniques:

Quand il est exécuté, Reatle-H il se copie dans le répertoire %Windir% sous le nom windows.exe ou 23425_up.exe.
Il affiche aussi un message d'erreur (voir capture d'écran).

Il tente de télécharger d'autres malwares :

http://j0r.biz/update3.exe
http://j0r.biz/proto.com

Afin d'être lancé à chaque démarrage, il ajoute l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WIN = "%Windir%\windows.exe"

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Reatle-H se répand par e-mail en s'envoyant en pièce-jointe et en utilisant son propre moteur SMTP.

Voici les caractéristiques du message :

Expéditeur

Il s'agit d'une combinaison de noms d'utilisateur et de noms de domaine.

Noms d'utilisateur :

admin
alerts
brenda
brent
david
helen
jerry
linda
michael
robert
sales
steve
support

Noms de domaine :

@antivirus.com
@aol.com
@arcor.com
@ca.com
@fsecure
@gmail.com
@google.com
@hotmail.com
@matrix.com
@mcafee
@mcafee.com
@microsoft
@microsoft.com
@msn.com
@nai.com
@noreply
@norman
@norton
@panda
@sopho
@support.com
@symantec
@symantec.com
@trendmicro
@trendmicro.com
@virusli
@yahoo.com

Objet

L'un d'eux :

**WARNING** Your Account Currently Disabled.
Email
Error
Importnat Information
Mail Delivery System
Message could not be delivered

Corps du message

L'un d'eux :

- Binary message is available.
- Hello, I was in a hurry and I forgot to attach an important document. Please see attached.
- Here are your banks documents
- Important Notification checkout the attachment for more info.
- The message contains Unicode characters and has been sent as a binary attachment.
- The original message was included as an attachment.
- We have temporarily suspended your email account checkout the attachment for more info.
- You have successfully updated the password of your domain account checkout the attachment for more info.
- Your Account Suspended checkout the document.
- Your credit card was charged for $500 USD. For additional information see the attachment.
- Your password has been updated checkout the document.
- checkout the attachment.

Pièce-jointe

Son nom peut être l'un d'eux :

about.cpl
about.doc{70 espaces}.bat
about.scr
account-report.exe
admin.bat
archive.cpl
archive.exe
box.bat
box.scr
data.bat
data.scr
doc.pif
docs.cpl
docs.scr
document.cpl
document.exe
file.cpl
help.doc{70 espaces}.exe
inbox.cpl
inbox.exe
order.cpl
payment.doc{70 espaces}.scr
read.cpl
read.exe
readme.cpl
readme.scr

Le ver désactive certains processus, sur le système infecté, en modifiant la base de registre :

HKEY_CURRENT_USER\Software\Microsoft\security center
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
AntiVirusDisableNotify = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\security center
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
AntiVirusDisableNotify = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableTaskMgr = "dword:00000001"
DisableRegistryTools = "dword:00000001"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001"
DisableRegistryTools = "dword:00000001"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

HKEY_CURRENT_USER\Software\Microsoft\Windows NT \CurrentVersion\systemrestore
DisableSR = "dword:00000001"

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = "dword:00000001"

Capture(s) d'écran: