CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Worm.Win32.Sluter

Classe Worm
Plateforme Win32
Description

Détails techniques

Sluter est un virus de ver qui se propage sur les réseaux Win32 via des ressources partagées.

Le ver est un fichier Windows PE EXE d'environ 18 Ko de longueur (compressé par UPX, la taille décompressée est d'environ 45 Ko). Il est écrit en Microsoft Visual C ++.

Lorsque le fichier infecté est exécuté, le ver s'inscrit lui-même dans la clé d'exécution automatique du registre système:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  superslut = {nom du fichier ver}

Ensuite, Sluter exécute ses routines d'épandage.

La routine d'épandage peut exécuter jusqu'à 60 "threads" qui analysent le port 445 à des adresses IP aléatoires. Lors de la connexion réussie à une machine victime, elle tente de localiser les ressources ouvertes sur l'ordinateur distant et se connecte à eux en utilisant plusieurs mots de passe tels que:

 "", "admin", "root", "123", etc.
 

Si une connexion réussie est établie, le ver se copie sur la machine victime sous les noms suivants:

 c $ winntsystem32msslut32.exe
 Admin $ system32msslut32.exe
Le ver utilise ensuite l'API de gestion à distance WinNT pour exécuter un fichier infecté sur la machine distante.

Le ver n'a aucune charge utile et ne se manifeste d'aucune autre manière.


Lien vers l'original