Wie der Antivirensoftware-Hersteller Sophos meldet, gelangt Sdbot-ZO auf Computer, ohne dass der Anwender das merkt. Dazu frisst sich der Wurm durch "Netzwerkfreigaben". Leichte Beute für den Schädling: Windows-Netze mit nur einfachem Kennwort-Schutz.
Sdbot-ZO setzt sich im Windows-Systemverzeichnis fest und manipuliert die Registrierung. Einmal sesshaft, ist der permanent aktiv. Er installiert einen "Backdoor-Server", über den Hacker ihr Unwesen treiben können. Und das läuft so ab, als würde es sich um einen "Chat" im Internet handeln. Denn der Zugriff erfolgt via IRC-Kanäle. IRC steht für "Internet Relay Chat", eine spezielle Form der Online-"Plauderei". Die Hintertür ermöglicht es Hackern zudem, gefährliche Dateien einzuschleusen.
Nach Angaben von Sophos kopiert sich Sdbot-ZO zuerst nach \burndl32.exe. Die folgenden Registrierungseinträge sorgen dafür, dass er automatisch beim Start aktiviert wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System settings
burndl32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
System settings
burndl32.exe
Weitere Infos:
www.sophos.de