Wurm hört Netzwerkverkehr ab

Parallel zum sprechenden Wurm hat ein weiterer Wurm mit besonderen Fähigkeiten Eingang in die Datenbanken der Virenspezialisten gefunden. SDBOT.UH installiert auf infizierten Systemen einen Sniffer, um Daten im Netzwerk mitzulesen. Insbesondere interessieren ihn dabei Anmeldedaten für Netzwerk-Server und -Dienste sowie PayPal-Logins -- die filtert er gezielt aus dem IP-Verkehr. Zusätzlich installiert er einen Keylogger, um Eingaben über die Tastatur zu überwachen, und öffnet eine Backdoor auf dem System. Der Schädling kann über IRC-Channels ferngesteuert werden -- bei der Feature-Liste denkt man eher an ein komfortables Remote-Administrations-Tool.

SDBOT verbreitet sich anders als die üblichen Würmer nicht per Mail, sondern direkt über das Netz. Dazu nutzt er Schwachstellen in RPC-, LSASS- und ISS-Diensten unter Windows aus. Für alle Sicherheitslücken gibt es aber seit längerem Updates von Microsoft, daher ist die Verbreitung des Wurms auch noch nicht allzu groß. Zudem versucht er, sich mit einer Liste von Namen und schwachen Passwörtern auf Zielsysteme einzuloggen.

Damit der Wurm Netzwerkdaten mitsniffen kann, muss er die Netzwerkkarte in den Promiscuous Mode schalten. Mit dem freien Tool Sentinel ist es möglich, im LAN derart eingestellte Systeme zu erkennen. Die Antiviren-Seiten von heise Security informieren über den weiteren Schutz vor Viren, Würmern und Trojanischen Pferden.

Siehe dazu auch: (dab)

• Wurmbeschreibung von Trend Micro
• New Worm Installs Network Traffic Sniffer von Netcraft