病毒名称:
Worm.Raleka.d.enc
类别: 蠕虫病毒
病毒资料:
破坏方法:
LCC编写的蠕虫病毒,采用UPX压缩。
病毒形为:
该病毒一被运行将从hxXP://***www.arrakis.es/~900k/xxxxxx 上下载3个
文件并执行它(下载后的文件名分别为:ntrootkit.exe,svchost32.exe,ntrootkit.reg)
其中ntrootkit.reg为注册表文件。病毒用regedit.exe 导入该文件。
网络传播:
病毒建立一个线程随机的生成ip地址并对该地址进行135端口扫描。扫描结果将存在svchost.ini文件中。如果病毒发现目标系统存在rpc漏洞病毒将利用该漏洞攻入系统进行传播。当病毒成功的攻入后还将自动到微软网站上下载相应的补丁程序
http://download.microsoft.com/download/6/6/0
/660dd9a5-c7b4-4d62-9c1d-025b073c1c7b
/WindowsXP-KB823980-x86-ESN.exe
对系统进行漏洞修补。
后门功能:
病毒还尝试连接到mirc服务器上自动加入#atolondra0频道以方便别人进行控制。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-12-8
