Reatle.G

REATLE.G gusano de Correo explota vulnerabilidades LSASS y Plug and Play impide acceso a sitios web, etc.

W32/Reatle.G@mm, I.worm.Reatle.G@mm

Reatle.G es un destructivo gusano/backdoor residente en memoria reportado el 12 de Septiembre del 2005, que se propaga a través de mensajes de Correo con remitentes falsos, asuntos, contenidos y archivos anexados de nombres aleatorios. Explota las vulnerabilidades LSASS y el desbordamiento del buffer del Plug and Play.

Libera copias de los gusanos Bagle.BM y Bratle.A en el directorio %System% y la carpeta %Windir%, abre un Backdoor vía el puerto TCP 9955 ejecutando una variedad de acciones nocivas.

Modifica el archivo HOSTS para impedir el acceso a diversos sitios en la web.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/2000/XP incluyendo servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con una extensión de 60 KB y comprimido con con el utilitario NSPack:

http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/NsPack.shtml

El gusano captura las buzones de la Libreta de Direcciones de Windows o usa cualquier nombre del sistema con los siguientes falsos dominios:

aol.com
ca.com
f-secure.com
kaspersky.com
mcafee.com
microsoft.com
msn.com
sarc.com
security.com
securityfocus.com
sophos.com
symantec.com
trendmicro.com
yahoo.com

evitando enviarse a las direcciones que tengan las cadenas:

@avp.
@foo
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
norton
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
virus
winrar
winzip

Haciendo uso de su motor SMTP (Simple Mail Transfer Protocol) se envía con las siguientes características:

Remitente, uno de los buzones extraídos del sistema o direcciones falsas bajo la técnica Spoofing.

Asunto, uno de los siguientes:

Changes..
Encrypted document
Fax Message
Forum notify
Hello
Incoming message
Notification
Protected message
Re:
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
Re: Incoming Msg
Re: Message Notify
Re: Msg reply
Re: Protected message
Re: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Site changes
Update

Contenido, uno de los siguientes combinados aleatoriamente con uno de los Asuntos:

Changes..
Encrypted document
Fax Message
Forum notify
Hello
Incoming message
Notification
Protected message
Re:
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
Re: Incoming Msg
Re: Message Notify
Re: Msg reply
Re: Protected message
Re: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Site changes
Update

Anexado, uno de estos nombres:

Details.doc
Document.doc
Info.doc
Information.doc
Message.doc
MoreInfo.doc
Readme.doc
text_document.doc
Updates.doc

Al activarse se copia a la carpeta %System% con el nombre de Winhost.exe y libera en esa misma carpeta los siguientes archivos:

beagle.exe (contiene una copia del gusano Bagle.BM)
mcafee.exe (contiene una copia del gusano Bratle.A)

También libera en el directorio %Windir% los archivos:

bagle.exe (contiene una copia del gusano Bagle.BM)
scan.exe (contiene una copia del gusano Bratle.A)

Para ejecutarse la próxima vez que se inicie el equipo agrega las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Winhost" = "%System%\winhost.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente re-inicio crea el Mutex "_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_" para evitar infectar los sistemas más de una vez.

intenta descragar un archivo desde el URL:

http://jor.biz/index.html (actualmente deshabilitado)

e inicia su rutina de envío de mensajes de correo, luego rastrea las redes vulnerables arriba descritas cuya información y parches se pueden descargar desde:

abre un Backdoor vía el puerto TCP 9955 ejecutando una variedad de acciones nocivas tales como:

Descargar y subir archivos
Ingresar a los sistemas con una extensa lista de nombres de usuarios y contraseñas.
Re-iniciar los sistemas infectados, en forma remota.
Tomar el control de los sistemas.

el gusano manipula el archivo HOSTS para impedir el acceso a los siguientes sitios web:

ca.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
mcafee.com
pandasoftware.com
sophos.com
symantec.com
trendmicro.com
us.mcafee.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.pandasoftware.com
www.sarc.com
www.sophos.com
www.symantec.com
www.trendmicro.com

El código del gusano tiene el siguiente texto:

(Breatle): Microsoft don't worry about MS05-039. It is not dangerous like lsass buffer overflow because most of users use a firewall and by the way i know zotob author. It is in my contacts list but i have to delete zotob for some reasons. If you want zotob author for a crime i can tell you his email, information about his country and etc so you can arrest him easily but you have to answer with yes. Because i want to know if you want him or not. If you want him i will release another variant contains information about him ( added some new things + fixed some bugs and added pnp exploit (MS05-039)).

PER ANTIVIRUS® versión 9.4 con registro de virus al 12 de Septiembre del 2005 detecta y elimina eficientemente este gusano/backdoor.