Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Sluter es un virus gusano que se propaga a través de redes Win32 a través de recursos compartidos.

El gusano es un archivo EXE de Windows PE de aproximadamente 18 KB de longitud (cuando está comprimido por UPX, el tamaño descomprimido es de aproximadamente 45 KB). Está escrito en Microsoft Visual C ++.

Cuando se ejecuta el archivo infectado, el gusano se registra en la clave de ejecución automática del registro del sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  superslut = {nombre de archivo de gusano}

A continuación, Sluter ejecuta sus rutinas de difusión.

La rutina de expansión ejecuta hasta 60 "subprocesos" que exploran el puerto 445 en direcciones IP aleatorias. Cuando se conecta con éxito a una máquina víctima intenta localizar recursos abiertos en la computadora remota y se conecta a ellos usando varias contraseñas como:

 "", "admin", "raíz", "123", etc.

Si se realiza una conexión exitosa, el gusano se copia a la máquina de la víctima con los siguientes nombres:

 c $ winntsystem32msslut32.exe
 Admin $ system32msslut32.exe

Luego, el gusano usa la API de administración remota de WinNT para ejecutar un archivo infectado en la máquina remota.

El gusano no tiene ninguna carga y no se manifiesta de ninguna otra manera.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Worm
Plataforma	Win32
Descripción	Detalles técnicos Sluter es un virus gusano que se propaga a través de redes Win32 a través de recursos compartidos. El gusano es un archivo EXE de Windows PE de aproximadamente 18 KB de longitud (cuando está comprimido por UPX, el tamaño descomprimido es de aproximadamente 45 KB). Está escrito en Microsoft Visual C ++. Cuando se ejecuta el archivo infectado, el gusano se registra en la clave de ejecución automática del registro del sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRun superslut = {nombre de archivo de gusano} A continuación, Sluter ejecuta sus rutinas de difusión. La rutina de expansión ejecuta hasta 60 "subprocesos" que exploran el puerto 445 en direcciones IP aleatorias. Cuando se conecta con éxito a una máquina víctima intenta localizar recursos abiertos en la computadora remota y se conecta a ellos usando varias contraseñas como: "", "admin", "raíz", "123", etc. Si se realiza una conexión exitosa, el gusano se copia a la máquina de la víctima con los siguientes nombres: c $ winntsystem32msslut32.exe Admin $ system32msslut32.exe Luego, el gusano usa la API de administración remota de WinNT para ejecutar un archivo infectado en la máquina remota. El gusano no tiene ninguna carga y no se manifiesta de ninguna otra manera.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Worm.Win32.Sluter

Detalles técnicos