10 czerwca 2003

Worm.Win32.Sluter - atakuje zasoby sieciowe

Jest to robak rozprzestrzeniający się w sieciach lokalnych. Działa w systemach Win32, ma postać pliku PE EXE o rozmiarze około 18 KB (kompresja UPX, rozmiar po rozpakowaniu około 45 KB) i powstał przy użyciu środowiska programistycznego Microsoft Visual C++.

Po uruchomieniu robak tworzy w rejestrze systemowym następujący klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
superslut = { nazwa pliku robaka }
i uruchamia procedurę rozprzestrzeniającą, która aktywuje do 60 wątków skanujących losowe adresy IP za pośrednictwem portu 445. W przypadku nawiązania połączenia robak szuka udostępnionych zasobów i podejmuje próbę połączenia się z nimi przy użyciu prostych haseł, takich jak: "","admin", "root", "123" itp.

Jeżeli połączenie z zasobem sieciowym zostanie nawiązane robak umieszcza na nim swoje kopie:

  • c$\winnt\system32\msslut32.exe,
  • Admin$\system32\msslut32.exe.

Następnie szkodnik uruchamia jedną ze swoich kopii na zdalnym komputerze i kontynuuje rozprzestrzenianie się.

Robak nie jest wyposażony w żadne funkcje dodatkowe i w żaden sposób nie ujawnia swojej obecności w zainfekowanym systemie.