Worm.Raleka.m

病毒別名：

影響系統：Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行為

編寫工具: LCC, UPX壓縮

傳染條件: 利用Windows的RPC服務漏洞在網路中傳播。

發作條件:

系統修改:

創建如下檔案:

%System%

trootkit.exe, %System%

trootkit.reg, %System%svchost32.exe

發作現象:

對259.199.45以及IRC.US.GamesNET.Net等網址進行連線；系統中有上述的檔案存在。

a、當該病毒被運行後，它將從IP位址為259.199.45的網站下載檔案至本地被感染機器，安裝一個後門，並且掃描隨機的IP位址，以找到未打補丁的機器；

b、當找到一個未打補丁的機器，它將在該被攻擊機器上生成一個名為:down.com的7位元組編碼檔案，並以發出攻擊的機器的IP和連線埠為參數來運行該檔案，該檔案會通過Internet Explorer來從發起攻擊的機器上下載上述的檔案，而不是從259.199.45上來下載；

c、所下載的檔案被存放到%System%中：

ntrootkit.exe(128000子節) - 木馬

ntrootkit.reg(245位元組) - 木馬相關註冊表檔案

svchost2.exe(14880位元組) - 蠕蟲病毒本身

d、完成下載後，該蠕蟲病毒會嘗試用他自己來取代系統目錄中的svchost.exe檔案, 並獲得運行;

e、該蠕蟲病毒會使用它自己的IRC引擎來連線以下的IRC伺服器：

irc.servercentral.net

irc.secsup.org

irc.nac.net

irc.mpls.ca

irc.mindspring.com

irc.limelight.us

irc.isprime.com

irc.isdnet.fr

irc.ipv6.homelien.no

irc.inter.net.il

irc.inet.tele.dk

irc.homelien.no

irc.prison.net

irc.desync.com

irc.daxnet.no

irc.csbnet.se

irc.aol.com

irc.blessed.net

irc.banetele.no

irc.red-latina.org

linux.us.amiganet.org

irc.beer-powered.com