Worm.Win32.Sluter

Technical Details

Вирус-червь. Размножается по локальным и глобальным сетям через ресурсы, открытые на доступ.

Червь распространяется в виде файла с именем «msslut32.exe», который является приложением Windows (PE EXE-файл), имеет размер около 18K (упакован UPX, размер распакованного файла — около 45K), написан на Microsoft Visual C++.

Червь попадает на компьютер в один из каталогов Windows. При запуске червь регистрирует свой EXE-файл в ключе автозапуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
superslut = {worm file name}

и запускает процедуру дальнейшего распространения.

Данная процедура запускает до 60 процедур-«ниток», которые одновременно сканирует порт 445 по случайным IP-адресам. При обнаружении открытого 445 порта червь ищет на удаленном компьютере открытые ресурсы и пытается подобрать к ним пароли из списка, например:

«»,»admin», «root», «123»

и т.п.

В случае успеха червь копирует себя на компьютер-жертву с именами:

c$winntsystem32msslut32.exe
Admin$system32msslut32.exe

Червь запускает себя на выполнение на удаленном компьютере при помощи соответствующего сервиса удаленного администрирования WinNT.