Mindenki utálja, ha "matatnak" a számítógépén, utálja, ha adatokat lopnak el róla, ha figyelik a billentyűleütéseit, ha a gépe szerverként működik, vagy kéretlen leveleket küld, esetleg trágárságokat ír a "csevegő programjain" barátainak.
Azt még jobban utálja, ha ismeretlen állományokat töltenek, a gépére, és futtatják azokat, de talán a "legellenszenvesebb", ha a gépén lévő alkalmazások regisztrációs kulcsait lopják el - ha vannak...
Erre új filmjeiben az egyre "sharmosabb" 007-es ügynök volt képes (a hölgyek nagy örömére), de most James Bond-unk nem hiszem, hogy akárki szívébe lopná magát. Ezt a 007-es ügynököt, ezt a "szuperkémet" W32/Sluter-E névvel illették, ma észlelték, és identifikálták 18 October 2004 07:53:51 (GMT) -kor a Sophos Plc. vírus laboratóriumában.
Az egyáltalán nem szimpatikus W32/Sluter-E egy hálózati féreg, megosztott hálózatokon és "csevegőprogramokon" terjed, a fertőzés a Windows operációs rendszereket érinti. "Különös ismertetőjegyei" más tulajdonságai mellett, hogy:
Kikapcsolja az antivírus alkalmazásokat
Engedélyezi a számítógépre illetéktelenek belépését
Információkat gyűjt, és lop el
Csökkenti a rendszer biztonságát
Rögzíti a billentyűleütéseket
Végül, de nem utolsó sorban bejegyzéseket telepít a regisztrációs adatbázisba
A W32/Sluter-E Windows platformot fertőző IRC hátsó ajtó trójai, és hálózati féreg. A féreg megosztott hálózatokon terjed, miközben fürkészi a hálózatokra kapcsolódó számítógépeket, melyeken ismert - és ki nem javított - rendszer-sebezhetőségeket keres.
A fertőzés utáni első futásakor a féreg winsci32.exe fájlnéven jegyzi be magát a Windows system könyvtárba. Ezen túl, hogy a rendszer indításakor minden alkalommal fusson a W32/Sluter-E is, az alábbi bejegyzéseket írja a regisztrációs adatbázis megfelelő kulcsaihoz:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServic es
Winsci Loaded = %System%winsci32.exe
HKLMSoftwareMicrosoftWindowsCurrentVersion Run
Winsci Loaded = %System%winsci32.exe
A féreg "Winsci32" nevű rendszerszolgáltatás (system service) néven bejegyzi magát úgy, hogy az imagepath ("végrehajtási út") a winsci32.exe - re mutat.
W32/Sluter-E csatlakozik egy IRC csatornához ahonnan a parancsokat egy távoli felhasználótól küldi. A hátsó ajtó összetevő utasításra a következő funkciók bármelyikére képes:
SOCKS4 proxy szerver
FTP szerver
E-mail küldés
Keylogger (billentyűleütés-figyelő funkció)
Képes DDoS támadások indítására (SYN, ICMP, Ping)
Ellopja a különböző termékek, alkalmazások regisztrációs kulcsait (ha van...)
Sértő szövegeket illeszt be az alábbi programok nyitott ablakaiba , és továbbítja azokat (AIM, Yahoo, MSN Messenger)
Összegyűjti a rendszerinformációkat (filesystem, hardware, futó folyamatok stb.)
Kinyitja és bezárja CDROM tálcákat
Utasításra letölt/feltölt állományokat
Alkalmazásokat futtat (parancsra)
A W32/Sluter-E "lekérdezi" a regisztrációs adatbázis bejegyzéseiből az alábbi meghatározott játékok kulcsait:
HKLMSoftwareWestwoodTiberian Sun
HKLMSoftwareWestwoodRed Alert 2
HKLMSoftwareIGI 2 RetailCDKey
HKLMSoftwareElectronic ArtsEA GAMESGeneralsergc
HKLMSoftwareElectronic ArtsEA SportsFIFA 2003ergc
HKLMSoftwareElectronic ArtsEA GAMESNeed For Speed Hot Pursuit
HKCUSoftwareEugen SystemsThe Gladiators
HKLMSoftwareActivisionSoldier of Fortune II - Double Helix
HKLMSoftwareBioWareNWNNeverwinter
HKLMSoftwareRed Storm EntertainmentRAVENSHIELD
HKLMSoftwareElectronic ArtsEA GAMESBattlefield 1942 The Road to Rome
HKLMSoftwareElectronic ArtsEA GAMESBattlefield 1942
HKLMSoftwareIGI 2 Retail
HKCUSoftwareValveCounterStrikeSettings
HKLMSoftwareUnre al TechnologyInstalled AppsUT2003
HKCUSoftwareValveHalf-LifeSettings
A féreg ellen védekezni a rendszeren futó antivírus programok adatbázisainak frissítésével lehet. Van olyan AV program, aminek az adatbázisa már ismeri ezt a károkozót. Csökkentett módban, kézzel indítva az AV programot törölhetjük a féreg állományokat. A registry bejegyzéseket manuálisan távolítsuk el - miután a regisztrációs adatbázisunkról biztonsági mentést készítünk.
