"Sdbot" ist ein Wurm für die Windows-Plattform und verbreitet sich auf Netzwerkcomputern, indem er häufige Pufferüberlaufschwachstellen ausnutzt, darunter LSAASS. Dabei läuft der Schadcode kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.
Vertrauliche Infos werden angezapft
"Sdbot" versucht laut Sophos in erster Linie vertrauliche Informationen zu stehlen. Daneben führt er laufend DdoS-Flooder-Attacken durch und lädt, installiert und startet neue Software auf dem Wirt-Rechner. Um sich zu verbergen versucht der Wurm sich geschickt in den Windows-Explorer-Prozess einzubinden.
Bei jedem Systemstart aktiv
Wird er gestartet, kopiert er sich, mit dem Dateinamen "mousecrm.exe" in das Verzeichnis "System". Das File wird dabei als neue Treibersystemdatei namens "mousecrm" mit dem Anzeigenamen "Mouse Cursor Monitor" und dem Starttyp "Automatisch" registriert. Dadurch wird der Wurm bei jedem Systemstart automatisch ausgeführt.
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.