Antivirus and Security Software from Sophos

Blogs

W32/Rbot-SD

Alias
  • Backdoor.Win32.Rbot.gen
Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Verbreitungsmethode
  • Netzwerkfreigaben
Betroffene Betriebssysteme Windows
Schutz erhältlich seit 22 Dezember 2004 11:07:20 (GMT)
Letztes Update 23 Dezember 2004 00:13:17 (GMT)
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Weitere Informationen

W32/Rbot-SD ist ein Netzwerkwurm umd ein IRC-Backdoortrojaner für die Windows-Plattform. W32/Rbot-SD verbreitet sich über verschiedene Methoden, u. a. nutzt er einfache Kennwörter auf Computern und SQL-Servern, Betriebssystem-Schwachstellen sowie Backdoors aus, die von anderen Würmern oder Trojanern hinterlassen wurden. W32/Rbot-SD kann über IRC-Kanäle von einem remoten Angreifer gesteuert werden. Die Backdoor-Komponente von W32/Rbot-SD kann von einem remoten Anwender angewiesen werden, folgende Funktionen zu starten:

  • Starten eines FTP-Servers
  • Starten eines Proxyservers
  • Starten eines Webservers
  • Teilnehmen an Distributed-Denial-of-Service (DDoS)-Attacken
  • Speichern von Tastenfolgen
  • Erstellen von Bildschirm- und Webcam-Aufnahmen
  • Packet-Sniffing
  • Portscanning
  • Herunterladen und Starten beliebiger Dateien
  • Starten einer Remote-Shell (RLOGIN)
W32/Rbot-SD ist ein Netzwerkwurm umd ein IRC-Backdoortrojaner für die Windows-Plattform. W32/Rbot-SD verbreitet sich über verschiedene Methoden, u. a. nutzt er einfache Kennwörter auf Computern und SQL-Servern, Betriebssystem-Schwachstellen sowie Backdoors aus, die von anderen Würmern oder Trojanern hinterlassen wurden. W32/Rbot-SD kann über IRC-Kanäle von einem remoten Angreifer gesteuert werden. Die Backdoor-Komponente von W32/Rbot-SD kann von einem remoten Anwender angewiesen werden, folgende Funktionen zu starten:
  • Starten eines FTP-Servers
  • Starten eines Proxyservers
  • Starten eines Webservers
  • Teilnehmen an Distributed-Denial-of-Service (DDoS)-Attacken
  • Speichern von Tastenfolgen
  • Erstellen von Bildschirm- und Webcam-Aufnahmen
  • Packet-Sniffing
  • Portscanning
  • Herunterladen und Starten beliebiger Dateien
  • Starten einer Remote-Shell (RLOGIN)

Der Wurm kopiert sich in eine Datei namens iexpl0re.exe im Windows-Systemordner und erstellt die folgenden Registrierungseinträge: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
""
"iexpl0re.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
""
"iexpl0re.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
""
"iexpl0re.exe" Patches für die Betriebssystem-Schwachstellen, die von W32/Rbot-SD ausgenutzt werden, stehen von Microsoft zur Verfügung unter: http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
http://www.microsoft.com/technet/security/bulletin/ms03-039.mspx
http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx
http://www.microsoft.com/technet/security/bulletin/ms01-059.mspx

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer