Worm.Win32.Slackor

Класс Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется по локальным сетям, если в них есть ресурсы, открытые на доступ. Червь содержит ряд ошибок и имеет очень мало шансов на «выживание».

Червь содержит несколько компонент:

cnn3.exe — главная компонента червя (Win32 EXE-файл размером около 350K)
abc.bat — BAT-файл (размер 1344 байт)
main.exe — троянская компонента (Win32 EXE-файл, размер 53280 байт)
psexec.exe — утилита удаленного запуска приложений (Win32 EXE-файл, размер 122880 байт)
slacke-worm.exe — компонента перебора сетевых адресов (Win32 EXE-файл, размер 25K или 28K в зависимости от версии червя)

Главная компонента червя является утилитой скрытного запуска самостоятельных EXE-файлов и определяется под именем «TrojanDropper.Win32.Yabinder».

При запуске она создаёт на диске C: каталог «sp», записывает в него компоненты червя и активизирует их:

C:spabc.bat
C:spmain.exe
C:sppsexec.exe
C:spslacke-worm.exe

Компонента «main.exe» является троянской программой удаленного администрирования и детектируется как «Backdoor.SdBot».

Компонента «slacke-worm.exe» ищет ресурсы сети и при помощи оставшихся двух компонент пытается запустить свои копии на удаленных компьютерах:


abc.bat
— пытается подключиться к удаленным ресурсам сети перебирая логины и пароли
psexec.exe — используется для запуска копии червя на удаленном компьютере