Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

O Sluter é um vírus worm que se espalha pelas redes Win32 através de recursos compartilhados.

O worm é um arquivo EXE do Windows PE com cerca de 18KB de comprimento (quando compactado pelo UPX, o tamanho descompactado é de aproximadamente 45KB). Está escrito no Microsoft Visual C ++.

Quando o arquivo infectado é executado, o worm se registra na chave de execução automática do registro do sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  superslut = {nome do arquivo worm}

Em seguida, Sluter executa suas rotinas de disseminação.

A rotina de espalhamento executa até 60 "threads", que fazem a varredura da porta 445 em endereços IP aleatórios. Ao se conectar com sucesso a uma máquina vítima, ele tenta localizar recursos abertos no computador remoto e se conecta a eles usando várias senhas, como:

 "", "admin", "root", "123", etc

Se uma conexão bem-sucedida for feita, o worm se copia para a máquina da vítima com os seguintes nomes:

 c $ winntsystem32msslut32.exe
 Admin $ system32msslut32.exe

O worm então usa a API de gerenciamento remoto do WinNT para executar um arquivo infectado na máquina remota.

O worm não tem nenhuma carga e não se manifesta de outra maneira.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Worm
Plataforma	Win32
Descrição	Detalhes técnicos O Sluter é um vírus worm que se espalha pelas redes Win32 através de recursos compartilhados. O worm é um arquivo EXE do Windows PE com cerca de 18KB de comprimento (quando compactado pelo UPX, o tamanho descompactado é de aproximadamente 45KB). Está escrito no Microsoft Visual C ++. Quando o arquivo infectado é executado, o worm se registra na chave de execução automática do registro do sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRun superslut = {nome do arquivo worm} Em seguida, Sluter executa suas rotinas de disseminação. A rotina de espalhamento executa até 60 "threads", que fazem a varredura da porta 445 em endereços IP aleatórios. Ao se conectar com sucesso a uma máquina vítima, ele tenta localizar recursos abertos no computador remoto e se conecta a eles usando várias senhas, como: "", "admin", "root", "123", etc Se uma conexão bem-sucedida for feita, o worm se copia para a máquina da vítima com os seguintes nomes: c $ winntsystem32msslut32.exe Admin $ system32msslut32.exe O worm então usa a API de gerenciamento remoto do WinNT para executar um arquivo infectado na máquina remota. O worm não tem nenhuma carga e não se manifesta de outra maneira.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Worm.Win32.Sluter

Detalhes técnicos