病毒别名:
处理时间:2004-01-30
威胁级别:★★
中文名称:莱卡
病毒类型:蠕虫
影响系统:Windows 2000, Windows 95, Windows 98, Windows Me,
病毒行为:
编写工具: LCC, UPX压缩
传染条件: 利用Windows的RPC服务漏洞在网络中传播。
发作条件:
系统修改:
创建如下文件:
%System%
trootkit.exe, %System%
trootkit.reg, %System%svchost32.exe
发作现象:
对259.199.45以及IRC.US.GamesNET.Net等网址进行连接;系统中有上述的文件存在。
特别说明:
a、当该病毒被运行后,它将从IP地址为259.199.45的网站下载文件至本地被感染机器,安装一个后门,并且扫描随机的IP地址,以找到未打补丁的机器;
b、当找到一个未打补丁的机器,它将在该被攻击机器上生成一个名为:down.com的7字节编码文件,并以发出攻击的机器的IP和端口为参数来运行该文件,该文件会通过Internet Explorer来从发起攻击的机器上下载上述的文件,而不是从259.199.45上来下载;
c、所下载的文件被存放到%System%中:
ntrootkit.exe(128000子节) - 木马
ntrootkit.reg(245字节) - 木马相关注册表文件
svchost2.exe(14880字节) - 蠕虫病毒本身
d、完成下载后,该蠕虫病毒会尝试用他自己来取代系统目录中的svchost.exe文件, 并获得运行;
e、该蠕虫病毒会使用它自己的IRC引擎来连接以下的IRC服务器:
irc.servercentral.net
irc.secsup.org
irc.nac.net
irc.mpls.ca
irc.mindspring.com
irc.limelight.us
irc.isprime.com
irc.isdnet.fr
irc.ipv6.homelien.no
irc.inter.net.il
irc.inet.tele.dk
irc.homelien.no
irc.prison.net
irc.desync.com
irc.daxnet.no
irc.csbnet.se
irc.aol.com
irc.blessed.net
irc.banetele.no
irc.red-latina.org
linux.us.amiganet.org
irc.beer-powered.com