Alertes virus
  Dossiers virus
  Alertes par email
  Antivirus gratuits
  Antivirus en ligne
  Désinfection
  FAQ virus

Dernières alertes virus | Page précédente

Virus
Reatle.C

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Lebreat (F-Secure)
Net-Worm.Win32.Lebreat.gen (Kaspersky)
W32/Reatle.gen@MM (McAfee)
W32/Lebreat.C.worm (Panda)
W32/Lebreat-C (Sophos)
W32.Reatle.C@mm (Symantec)
WORM_REATLE.C (Trend Micro)

TAILLE :
15.312 octets

DECOUVERTE :
16/07/05

DESCRIPTION DETAILLEE :
Reatle.C se présente sous la forme d'un message en anglais dont le titre et le corps sont aléatoires Les titres de messages :

• Message could not be delivered
• Bug
• Error
• Email
• Mail Delivery System
• Importnat Information
• **WARNING** Your Account Currently Disabled.
• Password
• info
• Hello

Le corps du message est variable :

• Your credit card was charged for $500 USD. For additional information see the attachment.
• Binary message is available.
• The message contains Unicode characters and has been sent as a binary attachment.
• Here are your banks documents
• The original message was included as an attachment.
• We have temporarily suspended your email account checkout the attachment for more info.
• You have successfully updated the password of your domain account checkout the attachment for more info.
• Important Notification checkout the attachment for more info.
• Your Account Suspended checkout the document.
• Your password has been updated checkout the document. checkout the attachment.
• Hello,
  I was in a hurry and I forgot to attach an important document. Please see attached.

La pièce jointe possède une extension en .BAT, .CPL, .EXE, .PIF, .SCR ou .ZIP (15 Ko) et un nom aléatoire :

• payment.doc [espaces] .scr
• about.doc [espaces] .bat
• help.doc [espaces] .exe
• account-report.exe
• about.cpl
• about.scr
• admin.bat
• archive.cpl
• archive.exe
• box.bat
• box.scr
• data.bat
• data.scr
• doc.pif
• docs.cpl
• docs.scr
• document.cpl
• document.exe
• file.cpl
• inbox.cpl
• inbox.exe
• order.cpl
• order.exe
• read.cpl
• read.exe
• readme.cpl
• readme.scr

Si ce fichier est exécuté, le virus se copie dans le répertoire Windows sous les noms bxt.com et update3.exe ainsi que sous le répertoire System sous les noms ccapp.exe, Windows.exe et attach.tmp, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, télécharge et exécute les virus Rants.B et Spybot, désactive le pare-feu de Windows XP, la mise à jour automatique de Windows, les notifications du Centre de sécurité Windows ainsi que divers utilitaires, s'envoie aux adresses figurant dans le carnet d'adresses Windows et divers autres fichiers en évitant certains destinataires et en utilisant une adresse d'expéditeur falsifiée, installe un serveur FTP au niveau du port TCP 8885, lance une attaque par déni de service contre le site www.symantec.com puis tente de se propager via le réseau en exploitant la vulnérabilité LSASS de Windows pour infecter automatiquement les ordinateurs non à jour dans leurs correctifs.

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus