概述
Worm/Raleka.c
Worm/Raleka.c是一個類似於“衝擊波”的網路蠕蟲,通過微軟的RPC漏洞進行傳播,病毒運行後,試圖從預定的網站下載檔案並連線一個IRC伺服器。病毒的傳播一般是首先從預定的網站下載NTrootkit.exe和NTRootkit.reg檔案,執行NTrootkit.exe(木馬程式),接著通過6667連線埠連線一個IRC伺服器並將其加入一個預定的IRC頻道,然後將被感染系統的IP位址通過聊天頻道向外傳送,同時接收不同的指令。
感染
病毒會啟動200個感染執行緒通過RPC漏洞感染其它的計算機。如果成功了,就在大於32767的連線埠上打開一個遠程命令行,並在遠程計算機上建立down.com(down.com運行後會以被感染計算機的IP位址和監聽的連線埠作為參數,感染其它的計算機)檔案。
此外病毒會創建兩個記錄檔案Rpcss.ini和Svchost.ini用來記錄所有的IP位址。該病毒只能在存在RPC漏洞的Windows 2000和Windows XP系統上感染和運行。
