§ 概要

病毒别名：

处理时间：2004-01-30

威胁级别：★★

中文名称：莱卡

病毒类型：蠕虫

影响系统：Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

编写工具: LCC, UPX压缩

传染条件: 利用Windows的RPC服务漏洞在网络中传播。

发作条件:

系统修改:

创建如下文件:

%System%

trootkit.exe, %System%

trootkit.reg, %System%svchost32.exe

发作现象:

对259.199.45以及IRC.US.GamesNET.Net等网址进行连接；系统中有上述的文件存在。

特别说明:

a、当该病毒被运行后，它将从IP地址为259.199.45的网站下载文件至本地被感染机器，安装一个后门，并且扫描随机的IP地址，以找到未打补丁的机器；

b、当找到一个未打补丁的机器，它将在该被攻击机器上生成一个名为:down.com的7字节编码文件，并以发出攻击的机器的IP和端口为参数来运行该文件，该文件会通过Internet Explorer来从发起攻击的机器上下载上述的文件，而不是从259.199.45上来下载；

c、所下载的文件被存放到%System%中：

ntrootkit.exe(128000子节) - 木马

ntrootkit.reg(245字节) - 木马相关注册表文件

svchost2.exe(14880字节) - 蠕虫病毒本身

d、完成下载后，该蠕虫病毒会尝试用他自己来取代系统目录中的svchost.exe文件, 并获得运行;

e、该蠕虫病毒会使用它自己的IRC引擎来连接以下的IRC服务器：

irc.servercentral.net

irc.secsup.org

irc.nac.net

irc.mpls.ca

irc.mindspring.com

irc.limelight.us

irc.isprime.com

irc.isdnet.fr

irc.ipv6.homelien.no

irc.inter.net.il

irc.inet.tele.dk

irc.homelien.no

irc.prison.net

irc.desync.com

irc.daxnet.no

irc.csbnet.se

irc.aol.com

irc.blessed.net

irc.banetele.no

irc.red-latina.org

linux.us.amiganet.org

irc.beer-powered.com

§ 相关条目

计算机 木马 病毒 网络 软件 系统

• 辛普森
• 辛普森行星齿轮系统
• 辛普森，J.Y.
• 辛景禧
• 辛未
• 辛松基烈士
• 辛果漆属
• 辛柏青
• 辛树声
• 辛树轩
• 辛格韦德利
• 辛桐
• 辛棣
• 辛森贵
• 辛植德烈士
• 辛楚
• 辛次膺
• 辛欣
• 辛毒
• 辛毛妹烈士
• 辛水清烈士
• 辛水牙烈士
• 辛永发烈士
• 辛汉文
• 辛汉文(1906～1969)