Raleka

Raleka, destructivo gusano/troyano/backdoor, explota vulnerabilidad RPC, colapsa los sistemas atacados.

Troj/Raleka, W32/Raleka

Raleka es un destructivo gusano troyano/backdoor reportado el 27 de Agosto del 2003, que aprovecha la vulnerabilidad del DCOM RPC (Llamada Remota de Procedimientos).

Infecta los sistemas con un archivo de nombre aleatorio, con extensión .EXE de 14.5 KB de extensión, haciendo uso de direcciones IP aleatorias a través del puerto TCP 135.

Descarga un peligroso troyano de ocultamiento de actividades, comandos, servicios, etc., y que permite insertar cualquier software backdoor de control remoto a los sistemas infectados.

La vulnerabilidad RPC (Remote Procedure Call) fue reportada por el grupo de investigadores de origen polaco denominado The Last Stage of Delirium, quienes han descubierto gran parte de las últimas fallas de Windows e Internet Explorer.

Este troyano es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003

Una vez ingresado al sistema el gusano se auto-ejecuta y descarga a la carpeta %System% desde la dirección IP 212.59.199.45 (http://www.arrakis.es) los siguientes archivos:

NTROOTKIT.EXE (125 KB)
NTROOTKIT.REG (245 bytes)

El NTRootkit versión 0.44 es una herramienta de software que en forma remota permite insertar backdoors en programas existentes dentro de un sistema, ocultando además las instrucciones o comandos en los equipos que son atacados por intrusos.

Este gusano además usa su propia rutina para conectarse un canal de Chat del servidor IRC (Internet Chat Relay) IRCSOULZ.NET:6667.

Asimismo el gusano sobre-escribirá el archivo SVCHOST.EXE dentro de la carpeta %System% y ejecutará un comando para descargar los archivos del NTRootkit desde otros sistemas infectados, en lugar de los de la dirección IP antes mencionada.

Con esta peligrosa herramienta, el hacker podrá insertar backdoors que le permitirán controlar remotamente servidores, redes con recursos compartidos, estaciones de trabajo y hasta PC domésticas a su entera voluntad.

El gusano infectará equipos remotos que no tengan instalado el parche para la vulnerabilidad DCOM RPC (Remote Procedure Call), conectándose al puerto TCP 135 de las direcciones IP generadas aleatoriamente desde el sistema infectado.

Finalmente, almacenará la dirección IP del equipo infectado en la carpeta %System% con el siguiente nombre de archivo:

RPCSS.INI

El parche para la vulnerabilidad DCOM RPC puede ser descargado de:

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

Los payloads de este troyano/backdoor son los siguientes:

Ingresa a través del puerto 135 aprovechando la vulnerabilidad RPC de Microsoft.
Descarga un troyano de ocultamiento de actividades, comandos, servicios, etc.
Este troyano permite insertar cualquier software backdoor a los sistemas infectados.
Captura información de la configuración del servidor y de las estaciones de trabajo.
Hace uso de todos los privilegios del Administrador de Red.
Envía la información al hacker a través de un canal de Chat de un servidor IRC pre-determinado.
Puede enviar/recibir comandos a través del Chat.
Captura teclas digitadas por el usuario.
Roba claves de acceso.
Controla remotamente programas de los sistemas infectados.
Borra archivos y formatea el disco duro.
Puede ocasionar una Negación de Servicio (Denial of Service) colapsando al sistema.

PER ANTIVIRUS® versión 8.2 con registro de virus al 27 de Agosto del 2003 detecta y elimina eficientemente este gusano/troyano/backdoor.