Worm/Raleka.c
Worm/Raleka.c是一个类似于“冲击波”的网络蠕虫,通过微软的RPC漏洞进行传播,病毒运行后,试图从预定的网站下载文件并连接一个IRC服务器。病毒的传播一般是首先从预定的网站下载NTrootkit.exe和NTRootkit.reg文件,执行NTrootkit.exe(木马程序),接着通过6667端口连接一个IRC服务器并将其加入一个预定的IRC频道,然后将被感染系统的IP地址通过聊天频道向外发送,同时接收不同的指令。
病毒会启动200个感染线程通过RPC漏洞感染其它的计算机。如果成功了,就在大于32767的端口上打开一个远程命令行,并在远程计算机上建立down.com(down.com运行后会以被感染计算机的IP地址和监听的端口作为参数,感染其它的计算机)文件。
此外病毒会创建两个记录文件Rpcss.ini和Svchost.ini用来记录所有的IP地址。该病毒只能在存在RPC漏洞的Windows 2000和Windows XP系统上感染和运行。
