آشنایی با ویروس
Ralekaنام :Ralekaنام مستعار : Worm.Win32.Raleka, W32/Raleka, W32/Raleka.worm, WORM_RALEKA
مبدا : اسپانیا
این كرم یك كرم مبتنی بر شبكه است . بدان معنی كه فقط راه تكثیر و افزایش آن از طریق شبكه امكان پذیر می باشد . این كرم از(Exploit) RPC استفاده می كند و از این نقطه نظر می توان آن را جزو خانواده MSBLast/Lavsan محسوب كرد . محتوای این كرم امكان كنترلIRC را داشته و می توانند ازbackdoor آن استفاده كند و با دستوریخاصشروع به دانلود كردنPatch از Microsft كند و شروع به رفع مشكل باگDCOM كند( البته فقط در كامپیوتر های آلوده ).
توصیف جزییات :
این كرم را با زبان برنامه نویسیC نوشته اند . حجم بدنه این كرم در هنگامی كه از حالت فشرده UPX خارج می شود ، در حدود 41504 بایت است . هنگامی كه كرم شروع به فعالیت می كند ، سعی می كند سه فایل را از ایستگاه های از قبل تعیین شدهWEB دانلود كند .1 – svchost32.exe
این فایل بدنه ویروس را ترجمه می كند
2 – ntrootkit.exe
یكUpdate را برایBackdoor در ویندوز هایNT نصب می كند .
3 – ntrootkit.reg
اینBackdoor را در ویندوز هایNt در رجیستری نصب می كند . این فایل كلیدی در رجیستری برای نصبBackdoor در ویندوزXP است . در كاربرانی كه از ویندوزXP استفاده می كنند ، از ابزار reg.exe برای نصب اینBackdoor استفاده می كند.
Raleka از طریق(Exploit) RPC/DCOMشروع به اسكن كردن رنجIP ها می كند و تلاش می كند تا بطور همزمان حدود 100Ip مختلف را برای نفوذ و رخنه اسكن می كند .
وقتی به یك سیستم آسیب پذیر برسد ، كرم یك فایل به نامDown.com از طریق پوستهExploitRPC تدارك می بیند و آن را فراخوانی می كند.با توجه به باگی كه در كرم وجود دارد ممكن است مجدداً سیستم مورد حمله این كرم واقع شود .
حجم فایل Down.com كم است و قابلیت اجرایی دارد و توسط كد هایASCII دسته بندی شده و به وسیله برنامه داس و از طریقNetSend در شبكهفراخوانی می شود.
هنگامی كه فایل DOS COM اجرا شد ، شروع به رمز گشایی ویندوز كرده و اجرای ویروس را امكان پذیر می كند. این كرم دارای ساختار درونیHTTP سرور است . كه از این سرور برای حمل و نقل اجزا كرم وBackdoor آن استفاده می كند . سرورHTTP به پورتهای راندوم بزرگتر از 32768 گوش می دهد .
این فایلها در سرورHTTP برای كپی كردن دانلود كردن موجود است :
1 – svchost.exe
كرم این فایل را در شاخه سیستم ویندوز كپی می كند
2 – ntrootkit.exe
backdoor ویندوز های نسلNT
3 – ntrootkit.reg
فایلی كه ریجستری را باBackdoor ست می كند
و در آخر هم بصورت آشكار به محل های زیر سرایت می كند :
Files:
%windir%/system/svchost.exe: the worm itself %windir%/system/svchost32.exe: the updated version of the worm
%windir%/system32/ntrootkit.exe: NT backdoor %windir%/system32/ntrootkit.reg: Registry file for NT backdoor
%windir%/system32/svchost.cmd: Batch file to start the worm
كلید هایی كه در رجیستری ایجاد می شوند عبارتند از :
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/AppCompatFlags/Layers]
"^%SystemRoot^%//SYSTEM32//NTROOTKIT.exe"="WIN2000"
"C://WINDOWS//SYSTEM32//NTROOTKIT.exe"="WIN2000"
