Worm.Win32.Sluter
Jest to robak rozprzestrzeniaj膮cy si臋 w sieciach lokalnych. Dzia艂a w systemach Win32, ma posta膰 pliku PE EXE o rozmiarze oko艂o 18 KB (kompresja UPX, rozmiar po rozpakowaniu oko艂o 45 KB) i powsta艂 przy u偶yciu 艣rodowiska programistycznego Microsoft Visual C++.
Po uruchomieniu robak tworzy w rejestrze systemowym nast臋puj膮cy klucz auto-run:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
superslut = { nazwa pliku robaka }
i uruchamia procedur臋 rozprzestrzeniaj膮c膮, kt贸ra aktywuje do 60 w膮tk贸w skanuj膮cych losowe adresy IP za po艣rednictwem portu 445. W przypadku nawi膮zania po艂膮czenia robak szuka udost臋pnionych zasob贸w i podejmuje pr贸b臋 po艂膮czenia si臋 z nimi przy u偶yciu prostych hase艂, takich jak: "","admin", "root", "123" itp.
Je偶eli po艂膮czenie z zasobem sieciowym zostanie nawi膮zane robak umieszcza na nim swoje kopie:
- c$winntsystem32msslut32.exe,
- Admin$system32msslut32.exe.
Nast臋pnie szkodnik uruchamia jedn膮 ze swoich kopii na zdalnym komputerze i kontynuuje rozprzestrzenianie si臋.
Robak nie jest wyposa偶ony w 偶adne funkcje dodatkowe i w 偶aden spos贸b nie ujawnia swojej obecno艣ci w zainfekowanym systemie.