Slugin es un gusano/backdoor residente en memoria, reportado el 27 de Octubre del 2008, que se propaga a través de servicios de Internet y canales de Chat premunidos con un BOT.

Infecta todos los archivos ejecutables de las unidades de disco físicas, lógicas y removibles. Deshabilita el sistema y será necesario re-instalar Windows.

Su componente Backdoor se conecta a canales de Chat premunidos de un BOT desde los cuales ejecuta acciones arbitarias. Finalmente hace lo propio a diversos URLs desde los que descarga archivos malwares.

Infecta a Windows 95/98/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión variable y comprimido con rutinas propias.

Una vez ingresado al sistema se copia a la siguiente ruta con los nombres:

* C:\Documents and Settings\All Users\Application Data\Wplugin.dll
* %Windir%\Wplugin.dll

y se copia a las siguientes rutas con el nombre de ws2help.dll:

%Windir%\ws2help.dll
%ProgramFiles%\Messenger\ws2help.dll

Para activarse cada vez que se acceda a una unidad de disco crea el archivo:

%System%\autorun.inf

para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"default" = "%Windir%\Wplugin.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"default" = "%Windir%\Wplugin.dll"

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano modifica el archivo w32.help.dll con un código que le permite robrar información de los programas ubicados en la misma carpeta de archivo .DLL y luego procede a revisar e infectar todos los archivos ejecutables de las unidades de disco físicas, lógicas y removibles.

Al siguiente inicio el sistema quedará inoperativo.

La información substraída es enviada a las siguientes direcciones de correo:

cvmb@hotmail.com
sv003@yahoo.com

Su componente Backdoor abre puertos TCP permitiendo a los intrusos realizar en forma remota las siguientes acciones:

* Descargar y ejecutar archivos con códigos arbitrarios
* Subir archivos
* EIniciar y detener servicios del sistema
* Enviar mensajes de corrreo MultiSPAM
* Extraer información crítica del sistema
* Desinstalarse a sí mismo.