A Reatle.D féreg elsősorban elektronikus leveleken keresztül terjed, de egy windowsos sérülékenységet is képes kihasználni a számítógépek megfertőzéséhez.
A Reatle.D féreg legfőbb feladata, hogy egy hátsó kaput nyisson a támadók számára. A féreg elsősorban emailekben terjed, de ki tudja használni a Microsoft által az MS04-011-es biztonsági közleményben ismertetett windowsos sérülékenységet is. A Reatle.D elérhetetlenné teszi a Windows Feladatkezelőjét és a regisztrációs adatbázis szerkesztőjét, valamint kikapcsolja a rendszervisszaállítási funkciókat. A féreg a fertőzött számítógépeken olyan módosítást is eszközöl, amelynek hatására a biztonsági cégek weboldalai elérhetetlenné válnak.
A Reatle.D további ismert nevei: W32/Lebreat-D [Sophos], WORM_REATLE.D [Trend Micro].
Amikor a Reatle.D elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\SYSTEM23.EXE
%System%\xface.tmp
%System%\xzip.tmp
%Windir%\xsas.JPG
%Windir%\xb12.dat (email címket tartalmaz)
2. Létrehoz számos mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run
kulcsához hozzáadja a
"System" = "%System%\system23.exe" értéket.
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\policies\system
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \policies\system
kulcsaihoz hozzáadja a
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1" értékeket.
Ezzel elérhetetlenné teszi a Feladatkezelőt és a regisztrációs adatbázis szerkesztőjét.
5. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore
kulcsaihoz hozzáadja a
"DisableSR" = "1" értéket.
Ezzel kikapcsolja a rendszervisszaállítási funkciókat.
6. Kitörli az alábbi bejegyzéseket a regisztrációs adatbázisból:
HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion \Run\erthgdr
HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion \Run\ICQNet
HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion \Run\EasyAV
HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion \Run\KasperskyAVEng
7. Nyit egy hátsó kaput a 3351-es és a 8190-es TCP portokon.
8. A saját SMTP komponensének segítségével emailekben továbbküldi magát.
A fertőzött levelek mellékletéhez tartozó fájl neve az alábbi listából kerül ki:
Details
Document
Info
Message
MoreInfo
Readme
text_document
Updates
A fertőzött fájlok kiterjesztése lehet:
.bat
.cmd
.cpl
.exe
.pif
.scr
9. Az MS04-011 biztonsági közleményben leírt sérülékenység kihasználásával megpróbál további számítógépeket megfertőzni.
10. Sorokat fűz hozzá a hosts fájlhoz, és ezzel számos biztonsági cég weboldalát teszi elérhetetlenné a fertőzött számítógépekről.
Forrás : Biztonságportál
