Worm/Raleka.c

Worm/Raleka.c

Worm/Raleka.c是一个类似于“冲击波”的网络蠕虫，通过微软的RPC漏洞进行传播，病毒运行后，试图从预定的网站下载文件并连接一个IRC服务器。病毒的传播一般是首先从预定的网站下载NTrootkit.exe和NTRootkit.reg文件，执行NTrootkit.exe（木马程序），接着通过6667端口连接一个IRC服务器并将其加入一个预定的IRC频道，然后将被感染系统的IP地址通过聊天频道向外发送，同时接收不同的指令。

病毒会启动200个感染线程通过RPC漏洞感染其它的计算机。如果成功了，就在大于32767的端口上打开一个远程命令行，并在远程计算机上建立down.com（down.com运行后会以被感染计算机的IP地址和监听的端口作为参数，感染其它的计算机）文件。

此外病毒会创建两个记录文件Rpcss.ini和Svchost.ini用来记录所有的IP地址。该病毒只能在存在RPC漏洞的Windows 2000和Windows XP系统上感染和运行。