Worm.Raleka.m

编写工具: LCC,UPX压缩

传染条件: 利用Windows的RPC服务漏洞在网络中传播。

发作条件:

系统修改:
创建如下文件:
%System%
trootkit.exe,%System%
trootkit.reg,%System%svchost32.exe

发作现象:
对259.199.45以及IRC.US.GamesNET.Net等网址进行连接；系统中有上述的文件存在。

非凡说明:
a、当该病毒被运行后，它将从IP地址为259.199.45的网站下载文件至本地被感染机器，安装一个后门，并且扫描随机的IP地址，以找到未打补丁的机器；

b、当找到一个未打补丁的机器，它将在该被攻击机器上生成一个名为:down.com的7字节编码文件，并以发出攻击的机器的IP和端口为参数来运行该文件，该文件会通过InternetExplorer来从发起攻击的机器上下载上述的文件，而不是从259.199.45上来下载；

c、所下载的文件被存放到%System%中：
ntrootkit.exe(128000子节)-木马

ntrootkit.reg(245字节)-木马相关注册表文件

svchost2.exe(14880字节)-蠕虫病毒本身

d、完成下载后，该蠕虫病毒会尝试用他自己来取代系统目录中的svchost.exe文件,并获得运行;

e、该蠕虫病毒会使用它自己的IRC引擎来连接以下的IRC服务器：
irc.servercentral.net
irc.secsup.org
irc.nac.net
irc.mpls.ca
irc.mindspring.com
irc.limelight.us
irc.isprime.com
irc.isdnet.fr
irc.ipv6.homelien.no
irc.inter.net.il
irc.inet.tele.dk
irc.homelien.no
irc.prison.net
irc.desync.com
irc.daxnet.no
irc.csbnet.se
irc.aol.com
irc.blessed.net
irc.banetele.no
irc.red-latina.org
linux.us.amiganet.org
irc.beer-powered.com