Neue Sdbot-Migration
Wurmverseuchte Treiber

hiz DÜSSELDORF. Wir die britischen Sicherheitsexperten von Sophos mitteilen ist im Internet eine neue Version des Sdbot-Wurms aufgetaucht. Der Schädling mit der Bezeichnung "W32/Sdbot-ABQ" lädt nach der Verseuchung weitere Programmteile aus dem Internet und trägt sich in die Systemdatenbank, die Registry, ein. Wird er gestartet, kopiert er sich mit dem Dateinamen "mousecrm.exe" in das Verzeichnis "System". Die Datei wird dabei als neuer Treiber mit dem Namen "mousecrm" mit dem Anzeigenamen "Mouse Cursor Monitor" und dem Starttyp "Automatisch" registriert. Dadurch wird der Wurm bei jedem Systemstart automatisch ausgeführt.

Wie die anderen Mitglieder der Sdbot-Familie verbreitet sich der Wurm auf Netzwerkcomputern, indem er Pufferüberlaufschwachstellen ausnutzt - darunter der lokalen Windows-Sicherheitsdienst LSASS (Local Security Authority Subsystem Service), der die Rechte bei lokalen Anmeldungen an Windows steuert. Für diese Lücke hat Microsoft allerdings schon seit April 2004 eine Sicherheitspatch bereitgestellt.

Der schadhafte Code des Wurms läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der Eindringlingen die Steuerung des Computers mittels IRC-Kanälen ermöglicht. Nach Erkenntnissen von Sophos versucht Sdbot vetrauliche Informationen auszuspähen. Darüber hinaus kann die verseuchte Maschine als Teil eines Bot-Netzes für Denial of Service Attacken missbraucht werden.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%