ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Worm.Win32.Sluter

Clase Worm
Plataforma Win32
Descripción

Detalles técnicos

Sluter es un virus gusano que se propaga a través de redes Win32 a través de recursos compartidos.

El gusano es un archivo EXE de Windows PE de aproximadamente 18 KB de longitud (cuando está comprimido por UPX, el tamaño descomprimido es de aproximadamente 45 KB). Está escrito en Microsoft Visual C ++.

Cuando se ejecuta el archivo infectado, el gusano se registra en la clave de ejecución automática del registro del sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  superslut = {nombre de archivo de gusano}

A continuación, Sluter ejecuta sus rutinas de difusión.

La rutina de expansión ejecuta hasta 60 "subprocesos" que exploran el puerto 445 en direcciones IP aleatorias. Cuando se conecta con éxito a una máquina víctima intenta localizar recursos abiertos en la computadora remota y se conecta a ellos usando varias contraseñas como:

 "", "admin", "raíz", "123", etc.
 

Si se realiza una conexión exitosa, el gusano se copia a la máquina de la víctima con los siguientes nombres:

 c $ winntsystem32msslut32.exe
 Admin $ system32msslut32.exe
Luego, el gusano usa la API de administración remota de WinNT para ejecutar un archivo infectado en la máquina remota.

El gusano no tiene ninguna carga y no se manifiesta de ninguna otra manera.


Enlace al original