Worm.Raleka.a

病毒别名：

处理时间：2004-03-22

威胁级别：★

中文名称：

病毒类型：蠕虫

影响系统：Win9X/Win2000/winnt/winxp/win2003

病毒行为:

编写工具:

upx压缩

传染条件:

发作条件:

这个蠕虫在TCP 135端口上扫描随机的IP地址范围以搜索容易攻击的系统。它试图使用MS03-026修补的的DCOM RPC漏洞。一旦Exploit代码被发送到一个系统，它将通过TFTP从某个远程系统下载和执行MSBLAST.EXE文件。

系统修改:

该蠕虫将创建注册表键:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

从而获得自动运行机会。

发作现象:

典型的症状是在没有用户输入的情况下，系统每隔几分钟重新启动。客户可能还会看到：

A>存在不同寻常的TFTP*文件

B>在WINDOWS SYSTEM32目录中存在msblast.exe文件

C>如果是irc用户，有时会出现不正常的频道加入和文件传输。

D>自动从Internet下载文件。

E>向别的机器发动RPC漏洞攻击，端口为135.

特别说明: