Erre új filmjeiben az egyre „sharmosabb” 007-es ügynök volt képes (a hölgyek nagy örömére), de most James Bond-unk nem hiszem, hogy akárki szívébe lopná magát. Ezt a 007-es ügynököt, ezt a „szuperkémet” W32/Sluter-E névvel illették, ma észlelték, és identifikálták 18 October 2004 07:53:51 (GMT) -kor a Sophos Plc. vírus laboratóriumában.

Az egyáltalán nem szimpatikus W32/Sluter-E egy hálózati féreg, megosztott hálózatokon és „csevegőprogramokon” terjed, a fertőzés a Windows operációs rendszereket érinti. „Különös ismertetőjegyei” más tulajdonságai mellett, hogy:

Kikapcsolja az antivírus alkalmazásokat

Engedélyezi a számítógépre illetéktelenek belépését

Információkat gyűjt, és lop el

Csökkenti a rendszer biztonságát

Rögzíti a billentyűleütéseket

Végül, de nem utolsó sorban bejegyzéseket telepít a regisztrációs adatbázisba

A W32/Sluter-E Windows platformot fertőző IRC hátsó ajtó trójai, és hálózati féreg. A féreg megosztott hálózatokon terjed, miközben fürkészi a hálózatokra kapcsolódó számítógépeket, melyeken ismert – és ki nem javított – rendszer-sebezhetőségeket keres.

A fertőzés utáni első futásakor a féreg winsci32.exe fájlnéven jegyzi be magát a Windows system könyvtárba. Ezen túl, hogy a rendszer indításakor minden alkalommal fusson a W32/Sluter-E is, az alábbi bejegyzéseket írja a regisztrációs adatbázis megfelelő kulcsaihoz:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServic es
Winsci Loaded = %System%winsci32.exe

HKLMSoftwareMicrosoftWindowsCurrentVersion Run
Winsci Loaded = %System%winsci32.exe

A féreg „Winsci32” nevű rendszerszolgáltatás (system service) néven bejegyzi magát úgy, hogy az imagepath („végrehajtási út”) a winsci32.exe – re mutat.

W32/Sluter-E csatlakozik egy IRC csatornához ahonnan a parancsokat egy távoli felhasználótól küldi. A hátsó ajtó összetevő utasításra a következő funkciók bármelyikére képes:

SOCKS4 proxy szerver

FTP szerver

E-mail küldés

Keylogger (billentyűleütés-figyelő funkció)

Képes DDoS támadások indítására (SYN, ICMP, Ping)

Ellopja a különböző termékek, alkalmazások regisztrációs kulcsait (ha van…)

Sértő szövegeket illeszt be az alábbi programok nyitott ablakaiba , és továbbítja azokat (AIM, Yahoo, MSN Messenger)

Összegyűjti a rendszerinformációkat (filesystem, hardware, futó folyamatok stb.)

Kinyitja és bezárja CDROM tálcákat

Utasításra letölt/feltölt állományokat

Alkalmazásokat futtat (parancsra)

A W32/Sluter-E „lekérdezi” a regisztrációs adatbázis bejegyzéseiből az alábbi meghatározott játékok kulcsait:

HKLMSoftwareWestwoodTiberian Sun
HKLMSoftwareWestwoodRed Alert 2
HKLMSoftwareIGI 2 RetailCDKey
HKLMSoftwareElectronic ArtsEA GAMESGeneralsergc
HKLMSoftwareElectronic ArtsEA SportsFIFA 2003ergc
HKLMSoftwareElectronic ArtsEA GAMESNeed For Speed Hot Pursuit
HKCUSoftwareEugen SystemsThe Gladiators
HKLMSoftwareActivisionSoldier of Fortune II – Double Helix
HKLMSoftwareBioWareNWNNeverwinter
HKLMSoftwareRed Storm EntertainmentRAVENSHIELD
HKLMSoftwareElectronic ArtsEA GAMESBattlefield 1942 The Road to Rome
HKLMSoftwareElectronic ArtsEA GAMESBattlefield 1942
HKLMSoftwareIGI 2 Retail
HKCUSoftwareValveCounterStrikeSettings
HKLMSoftwareUnre al TechnologyInstalled AppsUT2003
HKCUSoftwareValveHalf-LifeSettings

A féreg ellen védekezni a rendszeren futó antivírus programok adatbázisainak frissítésével lehet. Van olyan AV program, aminek az adatbázisa már ismeri ezt a károkozót. Csökkentett módban, kézzel indítva az AV programot törölhetjük a féreg állományokat. A registry bejegyzéseket manuálisan távolítsuk el – miután a regisztrációs adatbázisunkról biztonsági mentést készítünk.