Reatle.C

REATLE.C gusano/backdoor de Correo y FTP explota vulnerabilidad LSASS deshabilita servicios y funciones.

W32/Reatle.C@mm, W32/Lebreat.C, I.worm.Reatle.C@mm

Reatle.C es un destructivo gusano/backdoor reportado el 18 de Julio del 2005, que se propaga a través de mensajes de Correo con remitentes falsos, asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones. Aprovecha la vulnerabilidad LSASS descrita en el Boletín MS04-011.

Abre un Backdoor de FTP usando el puerto TCP 8885 e intenta descargar un archivo con código maligno desde diversos sitios web.

Deshabilita el Administrador de Tareas, editor de Registros, antivirus, firewalls, el Windows Update y la función de Restaurar de MS Windows.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/2000/XP incluyendo servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con una extensión de 15 KB y comprimido con con el utilitario MEW (desarrollado en C++ y Assembler por un grupo de hackers denominado Northfox):

http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml

El gusano capturan las buzones de la Libreta de Direcciones de Windows o de los archivos con las extensiones:

asp
txt
adb
tbb
dbx
html
htm
wab

o usa uno de los siguientes nombres:

adam

admin

alerts

alex

brenda

brent

david

fred

helen

jack

jane

jerry

john

josh

linda

mary

matt

michael

mike

paul

robert

root

sales

steve

support

con cualquiera de los dominios:

antivirus.com

aol.com

arcor.com

ca.com

gmail.com

google.com

hotmail.com

matrix.com

mcafee.com

microsoft.com

msn.com

nai.com

support.com

symantec.com

trendmicro.com

yahoo.com

evitando infectar direcciones de correo que tengan las siguientes cadenas:

icrosof
.gov
panda
f-secur
icrosoft
winrar
winzip
@mcafee
@trendmicro
@noreply
@sopho
@norman
@virusli
@norton
@fsecure
@panda
@avp
@microsoft
@symantec

Haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) se envía masivamente en mensajes con las siguientes características:

Remitente, uno de los buzones extraídos del sistema o direcciones falsas bajo la técnica Spoofing.

Asunto, aleatoriamente uno de los siguientes:

**WARNING** Your Account Currently Disabled.
Hi
Hello
Email
Error
Importnat Information
info
Bug
Mail Delivery System
Message could not be delivered
Password

Contenido, uno de los siguientes:

Your credit card was charged for $500 USD. For additional information see the attachment.
Binary message is available.
The message contains Unicode characters and has been sent as a binary attachment.
Here are your banks documents
The original message was included as an attachment.
We have temporarily suspended your email account checkout the attachment for more info.
You have successfully updated the password of your domain account checkout the attachment for more info.
Important Notification checkout the attachment for more info.
Your Account Suspended checkout the document.
Your password has been updated checkout the document.
checkout the attachment.
Hello,
I was in a hurry and I forgot to attach an important
document. Please see attached.

Anexado, uno de estos nombres:

about.cpl
about.doc[espacios_en_blanco].bat
about.scr
account-report.exe
admin.bat
archive.cpl
archive.exe
box.bat
box.scr
data.bat
data.scr
doc.pif
docs.cpl
docs.scr
document.cpl
document.exe
file.cpl
help.doc[espacios_en_blanco].exe
inbox.cpl
inbox.exe
order.cpl
order.exe
payment.doc[espacios_en_blanco].scr
read.cpl
read.exe
readme.cpl
readme.scr

al activarse se copia a la carpeta %System% con los nombres de archivos:

ccapp.exe
Windows.exe
attach.tmp
bxt.com

Para ejecutarse la próxima vez que se inicie el equipo agrega las siguientes llaves de registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Symantec" = "%System%\ccapp.exe"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"Symantec" = "%System%\ccapp.exe"

crea llaves para deshabilitar las herramientas de Registro, el Administrador de Tareas y el Restore:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
DisableRegistryTools = "1"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
DisableTaskMgr = "1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

Para deshabilitar el Firewall agrega el valor:

"EnableFirewall" = "1"

a las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

Para deshabilitar las Actualizaciones de Windows agrega el valor:

"NoAutoUpdate" = "1"

a las llaves:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

para deshabilitar los antivirus o firewalls a través del MS Windows Security Center agrega el valor:

"AntiVirusDisableNotify" = "0"
"UpdatesDisableNotify" = "0"
"FirewallDisableNotify" = "0"

a las llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

crea también el directorio %Windir% el archivo zy6.tmp en donde almacenará las direcciones de correo a ser enviadas.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente re-inicio inicia su rutina de auto-envío de mensajes de correo, e intenta descargar de varios sitios en la web un archivo de nombre update3.exe (actualmente deshabilitados).

Abre un Backdoor de FTP a través del puerto TCP 8885 para ejecutar ataques DoS en www.symantec.com.

El gusano rastrea las redes vulnerables al desbordamiento del buffer LSASS, cuya información y parche puede ser descargada desde:

Microsoft Security Bulletin MS04-011

PER ANTIVIRUS® versiones 9.3 y 9.4 con registro de virus al 18 de Julio del 2005 detectan y eliminan este gusano/backdoor.