• مشکی
  • سفید
  • سبز
  • آبی
  • قرمز
  • نارنجی
  • بنفش
  • طلایی
  • تعداد بازديد :
  • 2907
  • دوشنبه 1382/12/4
  • تاريخ :

 آشنایی با ویروس

Ralekaنام :Raleka

نام مستعار : Worm.Win32.Raleka, W32/Raleka, W32/Raleka.worm, WORM_RALEKA

مبدا : اسپانیا

این كرم یك كرم مبتنی بر شبكه است . بدان معنی كه فقط راه تكثیر و افزایش آن از طریق شبكه امكان پذیر می باشد . این كرم  از(Exploit) RPC استفاده می كند و از این نقطه  نظر می توان آن را جزو خانواده MSBLast/Lavsan محسوب كرد . محتوای این كرم  امكان كنترلIRC را داشته و می توانند ازbackdoor آن استفاده كند و با دستوریخاصشروع به دانلود كردنPatch از Microsft كند و شروع به رفع مشكل  باگDCOM كند(  البته فقط در كامپیوتر های آلوده ).

توصیف جزییات :

این كرم را با زبان برنامه نویسیC نوشته اند . حجم بدنه این كرم در هنگامی كه از حالت فشرده UPX خارج می شود ، در حدود 41504 بایت است  . هنگامی كه كرم شروع به فعالیت می كند ، سعی می كند سه فایل را از ایستگاه های از قبل تعیین شدهWEB دانلود كند .

1 – svchost32.exe

این فایل بدنه ویروس را ترجمه می كند

2 – ntrootkit.exe

یكUpdate را برایBackdoor در ویندوز هایNT نصب می كند .

3 – ntrootkit.reg

اینBackdoor را در ویندوز هایNt در رجیستری نصب می كند . این فایل كلیدی در رجیستری برای نصبBackdoor در ویندوزXP است . در كاربرانی كه از ویندوزXP استفاده می كنند ، از ابزار reg.exe برای نصب اینBackdoor استفاده می كند.

Raleka از طریق(Exploit) RPC/DCOMشروع به اسكن كردن رنجIP ها می كند و تلاش می كند تا  بطور همزمان حدود 100Ip مختلف را برای نفوذ و رخنه اسكن می كند .

وقتی به یك سیستم آسیب پذیر  برسد ،  كرم یك فایل به نامDown.com از طریق پوستهExploitRPC تدارك می بیند  و آن را فراخوانی می كند.با توجه به باگی كه در كرم وجود دارد ممكن است مجدداً سیستم مورد حمله این كرم واقع شود .

حجم فایل Down.com كم است و قابلیت اجرایی دارد و توسط  كد هایASCII دسته بندی شده و به وسیله برنامه  داس و از طریقNetSend در شبكهفراخوانی می شود.

هنگامی كه فایل DOS COM اجرا شد ، شروع به رمز گشایی ویندوز كرده و اجرای ویروس را امكان پذیر می كند. این كرم دارای ساختار درونیHTTP سرور است . كه از  این سرور برای حمل و نقل اجزا كرم وBackdoor آن استفاده می كند . سرورHTTP  به پورتهای راندوم بزرگتر از 32768 گوش می دهد .

این فایلها در سرورHTTP برای كپی كردن دانلود كردن موجود است :

1 – svchost.exe

كرم این فایل  را در شاخه سیستم ویندوز كپی می كند

2 – ntrootkit.exe

backdoor  ویندوز های نسلNT

3 – ntrootkit.reg

فایلی كه ریجستری را باBackdoor ست می كند

و در آخر هم بصورت آشكار  به محل های زیر سرایت می كند :

Files:

%windir%/system/svchost.exe: the worm itself %windir%/system/svchost32.exe: the updated version of the worm

%windir%/system32/ntrootkit.exe: NT backdoor %windir%/system32/ntrootkit.reg: Registry file for NT backdoor

%windir%/system32/svchost.cmd: Batch file to start the worm

كلید هایی كه در رجیستری ایجاد می شوند عبارتند از :

HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/AppCompatFlags/Layers]

"^%SystemRoot^%//SYSTEM32//NTROOTKIT.exe"="WIN2000"

"C://WINDOWS//SYSTEM32//NTROOTKIT.exe"="WIN2000"

ساختمان backdoor

  :Raleka دارای یكBackdoor درIRC می باشد كه می تواند یك سرور از پیش تعیین شده را به قربانی متصل كند . پس از الحاق مهاجم می تواند از طریق خط فرمان  كاملاً روی سیستم آلوده تسلط یافته و استفاده كنند .

UserName