W32/Sdbot-OP

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk. Sie müssen außerdem die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung. Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor. Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup. Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Entfernen Sie alle Verweise auf die von Ihnen gelöschten Dateien. Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag: HKU\[Codeziffer]\Software\Microsoft\Windows\
CurrentVersion\Run\ Entfernen Sie alle Verweise auf die von Ihnen gelöschte Datei. Schließen Sie den Registrierungseditor.

W32/Sdbot-OP ist ein Wurm, der sich über Netzwerkfreigaben verbreitet.
Wenn er erstmals ausgeführt wird, erstellt der Wurm eine Kopie von sich namens ntsys32.exe im Windows-Systemordner und erstellt die folgenden Registrierungseinträge, damit diese Kopie bei jedem Start von Windows aktiviert wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Configuration = ntsys32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Configuration = ntsys32.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Configuration = ntsys32.exe W32/Sdbot-OP sucht nach freigegebenen Ordnern mit einfachen Kennwörtern und kopiert sich als ntsys32.exe in den Windows-Systemordner eines anfälligen Computers. Der Wurm verfügt über Backdoor-Funktionen, die via IRC von einem remoten Angreifer gesteuert werden können.