Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Sluter est un virus de ver qui se propage sur les réseaux Win32 via des ressources partagées.

Le ver est un fichier Windows PE EXE d'environ 18 Ko de longueur (compressé par UPX, la taille décompressée est d'environ 45 Ko). Il est écrit en Microsoft Visual C ++.

Lorsque le fichier infecté est exécuté, le ver s'inscrit lui-même dans la clé d'exécution automatique du registre système:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  superslut = {nom du fichier ver}

Ensuite, Sluter exécute ses routines d'épandage.

La routine d'épandage peut exécuter jusqu'à 60 "threads" qui analysent le port 445 à des adresses IP aléatoires. Lors de la connexion réussie à une machine victime, elle tente de localiser les ressources ouvertes sur l'ordinateur distant et se connecte à eux en utilisant plusieurs mots de passe tels que:

 "", "admin", "root", "123", etc.

Si une connexion réussie est établie, le ver se copie sur la machine victime sous les noms suivants:

 c $ winntsystem32msslut32.exe
 Admin $ system32msslut32.exe

Le ver utilise ensuite l'API de gestion à distance WinNT pour exécuter un fichier infecté sur la machine distante.

Le ver n'a aucune charge utile et ne se manifeste d'aucune autre manière.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Worm
Plateforme	Win32
Description	Détails techniques Sluter est un virus de ver qui se propage sur les réseaux Win32 via des ressources partagées. Le ver est un fichier Windows PE EXE d'environ 18 Ko de longueur (compressé par UPX, la taille décompressée est d'environ 45 Ko). Il est écrit en Microsoft Visual C ++. Lorsque le fichier infecté est exécuté, le ver s'inscrit lui-même dans la clé d'exécution automatique du registre système: HKLMSoftwareMicrosoftWindowsCurrentVersionRun superslut = {nom du fichier ver} Ensuite, Sluter exécute ses routines d'épandage. La routine d'épandage peut exécuter jusqu'à 60 "threads" qui analysent le port 445 à des adresses IP aléatoires. Lors de la connexion réussie à une machine victime, elle tente de localiser les ressources ouvertes sur l'ordinateur distant et se connecte à eux en utilisant plusieurs mots de passe tels que: "", "admin", "root", "123", etc. Si une connexion réussie est établie, le ver se copie sur la machine victime sous les noms suivants: c $ winntsystem32msslut32.exe Admin $ system32msslut32.exe Le ver utilise ensuite l'API de gestion à distance WinNT pour exécuter un fichier infecté sur la machine distante. Le ver n'a aucune charge utile et ne se manifeste d'aucune autre manière.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Worm.Win32.Sluter

Détails techniques