Worm.Win32.Sluter

Jest to robak rozprzestrzeniaj膮cy si臋 w sieciach lokalnych. Dzia艂a w systemach Win32, ma posta膰 pliku PE EXE o rozmiarze oko艂o 18 KB (kompresja UPX, rozmiar po rozpakowaniu oko艂o 45 KB) i powsta艂 przy u偶yciu 艣rodowiska programistycznego Microsoft Visual C++.

Po uruchomieniu robak tworzy w rejestrze systemowym nast臋puj膮cy klucz auto-run:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
superslut = { nazwa pliku robaka }
i uruchamia procedur臋 rozprzestrzeniaj膮c膮, kt贸ra aktywuje do 60 w膮tk贸w skanuj膮cych losowe adresy IP za po艣rednictwem portu 445. W przypadku nawi膮zania po艂膮czenia robak szuka udost臋pnionych zasob贸w i podejmuje pr贸b臋 po艂膮czenia si臋 z nimi przy u偶yciu prostych hase艂, takich jak: "","admin", "root", "123" itp.

Je偶eli po艂膮czenie z zasobem sieciowym zostanie nawi膮zane robak umieszcza na nim swoje kopie:

  • c$winntsystem32msslut32.exe,
  • Admin$system32msslut32.exe.

Nast臋pnie szkodnik uruchamia jedn膮 ze swoich kopii na zdalnym komputerze i kontynuuje rozprzestrzenianie si臋.

Robak nie jest wyposa偶ony w 偶adne funkcje dodatkowe i w 偶aden spos贸b nie ujawnia swojej obecno艣ci w zainfekowanym systemie.