Worm.W32/Raleka

Alias:
Win32/Raleka.A (Enciclopedia Virus (Ontinent)), W32/Raleka.worm (McAfee), W32/Kelar.A (Panda Software), Raleka (PerAntivirus)

Descripción:
Gusano que para propagarse hace uso de la misma falla que utilizan otros gusanos como Blaster.

Infecta equipos con Windows 2000 y XP sin el parche que corrige la vulnerabilidad en la interfaz RPC (Remote Procedure Call) que permite la ejecución de código arbitrario.

Detalles:
Worm.W32/Raleka intenta descargar de cierta dirección IP, los archivos:

• ntrootkit.exe (128.000 bytes)
• ntrootkit.reg (245 bytes)

Nota: El directorio System32, puede ser C:\Windows\System32 en Windows XP o C:\WinNT\System32 en Windows NT y 2000.

El gusano escanea el puerto TCP/135, buscando máquinas vulnerables al desbordamiento de búfer en el protocolo RPC (vulnerabilidad RPC/DCOM explicado en el Boletín de Seguridad MS03-026 de Microsoft). Las direcciones IP para la búsqueda, son generadas automáticamente.

Aún cuando un antivirus detecte y elimine este gusano, mientras no se haya instalado el parche mencionado en dicho boletín, la computadora seguirá vulnerable al ataque de desbordamiento de búfer desde otras máquinas infectadas. Cuando estos paquetes son recibidos por cualquier sistema sin el parche, provocarán la caída del servicio RPC, sin necesidad de que el gusano esté presente o no en la máquina.

Aplicando el parche, se previene la falla en este servicio. El sistema debe ser reiniciado una vez que se haya instalado ek citado parche reparador.

Solución:

• Uso de antivirus actualizado.

Más información acerca de este virus en:

• McAfee
• Panda Antivirus

Fuente: red.es