W32.HLLW.Raleka

Versão para impressão

Descoberta: August 26, 2003
Atualizado: February 13, 2007 12:10:14 PM
Também conhecido como: W32/Raleka.worm [McAfee], Raleka [F-Secure], Worm.Win32.Raleka [KAV], WORM_RALEKA [Trend], Win32.Raleka [CA], W32/Raleka [Sophos]
Tipo: Worm
Extensão da infecção: 14.480 Bytes
Sistemas afetados: Windows



O W32.HLLW.Raleka é um worm que, assim como o W32.Blaster.Worm , explora a vulnerabilidade do RPC do DCOM da Microsoft, descrita em Microsoft Security Bulletin MS03-026 .

Ao ser executado, o W32.HLLW.Raleka tenta fazer o download de arquivos de um local pré-definido e conectar-se a um servidor IRC.

O worm possui 14 Kb de tamanho e está comprimido com UPX. Ao ser extraído, o tamanho do worm é de aproximadamente 100 Kb.

Datas da proteção antivírus

  • Versão inicial do Rapid Release August 27, 2003
  • Última versão do Rapid Release September 28, 2010 revisão 054
  • Versão inicial diária certificada August 27, 2003
  • Última versão diária certificada September 28, 2010 revisão 036
  • Data da versão inicial semanal certificada August 27, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Escrito por: Neal Hindocha

Descoberta: August 26, 2003
Atualizado: February 13, 2007 12:10:14 PM
Também conhecido como: W32/Raleka.worm [McAfee], Raleka [F-Secure], Worm.Win32.Raleka [KAV], WORM_RALEKA [Trend], Win32.Raleka [CA], W32/Raleka [Sophos]
Tipo: Worm
Extensão da infecção: 14.480 Bytes
Sistemas afetados: Windows


Ao ser ativado, o W32.HLLW.Raleka executa as seguintes ações:

  1. Tenta fazer o download dos arquivos NTrootkit.exe e NTRootkit.reg a partir de um local pré-definido. Se tiver sucesso, o arquivo NTrootkit.exe é executado.


    Nota: os produtos Symantec que utilizam as definições de vírus mais recentes detectam o arquivo NTrootkit.exe como Backdoor.Rtkit.

  2. Dispara uma sequência de tentativas de conexão aos servidores IRC listados abaixo, através da porta 6667, um servidor por vez, até que uma conexão seja feita com sucesso:
    • irc.servercentral.net
    • irc.secsup.org
    • irc.nac.net
    • irc.mpls.ca
    • irc.mindspring.com
    • irc.limelight
    • us.irc.isprime.com
    • irc.isdnet.fr
    • irc.ipv6.homelien.no
    • irc.inter.net.il
    • irc.inet.tele.dk
    • irc.homelien.no
    • irc.prison.net
    • irc.desync.com
    • irc.daxnet.no
    • irc.csbnet.se
    • irc.aol.com
    • irc.blessed.net
    • irc.banetele.no
    • irc.red-latina.org
    • irc.Ultra-IRC.net
    • irc.ircsoulz.net


      Nota: se não for possível conectar-se a algum dos servidores acima, o worm tentará obter endereços adicionais a partir de client.hopto.org.

  3. Se uma conexão for feita com sucesso, o worm acessará um canal de chat pré-definido. O apelido utilizado para conectar-se ao canal de chat será formado pelos primeiros quatro primeiros caracteres do nome do computador, seguido de números aleatórios.

  4. Envia o endereço IP do computador infectado para o canal de chat.

  5. Pode receber diversos comandos a partir do canal de chat.

  6. Abre uma porta aleatória de número superior a 32767 no sistema infectado e aguarda por conexões remotas.

  7. Ao estabelecer uma conexão, o worm envia um dos quatro arquivos abaixo: <nome atual>, "service.exe", "ntrootkit.exe" ou "ntrootkit.reg".

  8. Dispara 200 tentativas de infecção de outros computadores utilizando a vulnerabilidade do RPC do DCOM da Microsoft de uma das duas maneiras abaixo:
    • As primeiras 100 tentativas atacarão endereços IP semelhantes ao endereço IP do computador infectado. O worm manterá os dois primeiros octetos do endereço IP e gerará os dois últimos octetos aleatoriamente.

      Por exemplo, se o endereço IP do computador infectado for 193.168.0.1, as primeiras 100 tentativas englobarão computadores cujos endereços IP comecem com 193.168.x.x.

    • As 100 tentativas restantes criarão o endereço IP do computador also da seguinte maneira: os primeiros três octetos serão gerados aleatoriamente e o valor do último octeto será cada um dos valores entre 0 e 255.

      Por exemplo, se o valor aleatório para os três primeiros octetos for 193.168.0.x, o worm tentará infectar computadores cujo endereço IP seja 193.168.0.0, 193.168.0.2, 193.168.0.3, ..., 193.168.0.255. Ao terminar as tentativas deste primeiro intervalo de endereços IP, o worm gerará novamente os três primeiros octetos de forma aleatória e tentará novamente.

  9. Se infectar um computador com sucesso, o worm abrirá uma porta aleatória acima de 32767 no computador infectado.

  10. Cria o arquivo down.com no computador remoto.

  11. Esse arquivo é executado no computador remoto utilizando parâmetros do endereço IP do computador infectado e da porta aberta para monitoramento nesse computador.

    Por exemplo:
    1. O worm infecta o computador A.
    2. O computador A abre a porta 33768 para monitoramento.
    3. O computador A encontra o computador B e abre um shell remoto nesse computador.
    4. O computador A cria o arquivo down.com no computador B.
    5. O computador A executa o arquivo down.com no computador B usando como parâmetros o endereço IP do computador A e a porta 33768.

  12. Cria dois arquivos de registro de eventos, de nomes Rpcss.ini e Svchost.ini, e registra todos os endereços de IP que foram testados para infecção. O worm utiliza esses arquivos para controlar as tentativas de infecção e evitar tentar infectar o mesmo intervalo de IPs mais de uma vez.


Recomendações

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Escrito por: Neal Hindocha

Descoberta: August 26, 2003
Atualizado: February 13, 2007 12:10:14 PM
Também conhecido como: W32/Raleka.worm [McAfee], Raleka [F-Secure], Worm.Win32.Raleka [KAV], WORM_RALEKA [Trend], Win32.Raleka [CA], W32/Raleka [Sophos]
Tipo: Worm
Extensão da infecção: 14.480 Bytes
Sistemas afetados: Windows


As instruções a seguir aplicam-se a todos os produtos antivírus da Symantec atuais e recentes, incluindo as linhas de produtos Symantec AntiVirus e Norton AntiVirus.

  1. Obtenha a correção da vulnerabilidade do RPC do DCOM da Microsoft.
  2. Desative a Restauração do Sistema (Windows Me/XP).
  3. Atualize as definições de vírus.
  4. Disconecte de qualquer rede, inclusive da Internet. Execute uma verificação completa do sistema e exclua todos os arquivos que detectados como W32.HLLW.Raleka.

Para mais informações sobre cada uma dessas etapas, consulte as instruções a seguir.

1. Obtendo a correção da vulnerabilidade do RPC do DCOM da Microsoft
O W32.HLLW.Raleka é um worm que explora a vulnerabilidade do RPC do DCOM e que utiliza a porta TCP 135 para infectar o computador. Para corrigir essa vulnerabilidade, é importante obter a correção da Microsoft em: Microsoft Security Bulletin MS03-026 .

2. Desativando a Restauração do Sistema (Windows Me/XP)
Usuários do Windows Me e do Windows XP devem desativar, temporariamente, o recurso Restauração do Sistema. Este recurso, ativado por padrão, é utilizado pelo Windows ME/XP para restaurar os arquivos do sistema no computador quando estes são danificados. Quando um computador é infectado por um vírus, worm ou cavalo de Tróia é possível que arquivos infectados sejam recuperados pela Restauração do Sistema.

Por padrão, o Windows evita que os arquivos criados e mantidos pela Restauração do Sistema sejam alterados por programas externos, inclusive programas anti-vírus. Dessa forma, os arquivos criados por este recurso que tenha sido infectados não poderão ser corrigidos. Assim, ao utilizar este recurso mais tarde, é possível que você restaure em seu sistema um arquivo infectado ou que verificadores on-line detectem uma ameaça na pasta onde esses arquivos são armazenados.

Para instruções sobre como desativar a Restauração do Sistema, consulte a seção abaixo referente ao seu sistema operacional.
    Desativando a Restauração do Sistema no Windows Me
    1. Clique em Iniciar > Configurações > Painel de controle.
    2. Clique duas vezes em Sistema.

      Nota: se o ícone Sistema não for visível, clique em Exibir todas as opções do Painel de controle.
    3. Clique na guia Desempenho > Sistema de arquivos.
    4. Clique na guia Solução de problemas e selecione Desativar Restauração do Sistema.
    5. Clique em OK.
    6. Clique em Fechar.
    7. Clique em Sim quando for solicitado a reinicializar o Windows.


    Desativando a Restauração do Sistema no Windows XP

    Notas:
    • Você deve fazer o login como Administrador para fazer isso. Se não fizer o login como Administrador, a guia do recurso de restauração do sistema não será exibida. Se não souber como fazer o login como Administrador, entre em contato com o Administrador de Sistemas (se estiver em rede) ou consulte a documentação do seu sistema operacional.
    • A desativação do recurso de restauração eliminará todos os pontos prévios de restauração.


    1. Clique em Iniciar > Programas > Acessórios > Windows Explorer.
    2. Clique com o botão direito em Meu computador > Propriedades.
    3. Clique na guia Restauração do Sistema.
    4. Selecione Desativar Restauração do Sistema ou Desativar Restauração do Sistema em todas as unidades.
    5. Clique em Aplicar > OK.
    6. Clique em Sim para confirmar a eliminação dos pontos prévios de restauração.
    7. Clique em OK.


Para instruções detalhadas sobre como configurar a Restauração do Sistema, consulte um dos documentos abaixo:

Para mais informações e para uma solução que não envolve desativar a restauração do sistema, consulte o seguinte artigo da Base de Conhecimento da Microsoft Antivirus Tools Cannot Clean Infected Files in the _Restore Folder , ID do artigo: Q263455.

3. Atualizando as definições de vírus
O Symantec Security Response efetua testes completos em todas as definições de vírus para garantir sua qualidade antes de disponibilizá-las em nossos servidores. Existem duas formas de se obter as definições de vírus mais recentes:
  • Executando o LiveUpdate: essa é a maneira mais fácil de se obter as definições de vírus. Estas definições são disponibilizadas nos servidores do LiveUpdate semanalmente (normalmente às quartas-feiras), a não ser que haja uma significativa propagação de vírus. Para determinar se as definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste documento. Para mais informações sobre como executar o LiveUpdate, consulte o documento Executando o LiveUpdate.
  • Fazendo o donwload das definições de vírus usando o Intelligent Updater: as definições de vírus do Intelligent Updater são disponibilizadas nos Estados Unidos nos dias úteis (de segunda até sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste documento. Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater, clique aqui.
    Reconfigurando o Norton AntiVirus
    Se utilizar uma solução anti-vírus doméstica como o Norton AntiVirus, siga as etapas abaixo para reconfigurá-lo. Se for usuário de um produto corporativo, vá para a próxima seção.
    1. Inicie o Norton AntiVirus
    2. Clique em Opções > Norton AntiVirus.
    3. Clique em Verificação Manual.
    4. No painel esquerdo, clique em BloodHound.
    5. Selecione Nível mais alto de proteção.
    6. Clique em Exclusões.
    7. No painel direito, selecione cada uma das extensões listadas e clique em Remover.
    8. No painel esquerdo, clique em Categorias de Ameaça.
    9. Clique em Exclusões.
    10. No painel direito, selecione cada uma das extensões listadas e clique em Remover.
    11. Clique em OK.


Nota: quando concluir o processo de remoção e estiver seguro de que a ameaça foi removida, reative a Restauração do Sistema seguindo as instruções dos documentos mencionados anteriormente.


4. Verificando e excluindo os arquivos infectados
  1. Disconecte o computador de todas as fontes externas. Isso inclui as redes de acesso local e todas as conexões à Internet.
  2. Inicie o produto antivírus da Symantec e certifique-se de que esteja configurado para verificar todos os arquivos.
  3. Execute uma verificação completa do sistema.
  4. Se algum arquivo for detectado como W32.HLLW.Raleka, clique em Excluir.

Execute uma verificação completa do sistema. Se estiver utilizando um produto doméstico, siga um dos procedimentos abaixo, dependendo da versão do produto:
    • Produtos versão 2004 ou anteriores
      1. Inicie o o Norton AntiVirus
      2. No painel esquerdo, clique em Verificar Vírus.
      3. Clique duas vezes em Verificar meu computador.
      4. Siga as etapas do Assistente de Remoção.
      5. Se houver arquivos infectados pelo W32.HLLW.Raleka, anote o caminho para o arquivo. Não ignore esta etapa.
      6. Quando a verificação terminar, siga as etapas do Assistente de Remoção e, ao final, clique em Concluir.
    • Produtos versão 2005 ou posteriores
      1. Clique em Iniciar > Executar.
      2. No campo Executar digite:

        NAVW32.EXE /L /VISIBLE

        Nota: existe um espaço antes de cada barra.
      3. Clique em OK.
      4. Se houver arquivos infectados pelo W32.HLLW.Raleka, anote o caminho para o arquivo. Não ignore esta etapa.
      5. Quando a verificação terminar, siga as etapas do Assistente de Remoção e, ao final, clique em Concluir.


Escrito por: Neal Hindocha