Der europäische Security-Software-Hersteller ESET hat in einem ausführlichen Bericht Ergebnisse zum Trojaner Sathurbot vorgestellt. Sathurbot hat es auf mit Wordpress erstellte Webseiten abgesehen und versucht anhand von mehr als 5000 generischen Wörtern Anmeldeinformationen zu erstellen. Dazu versuchen verschiedene Bots im Sathurbot-Botnet unterschiedliche Anmeldeinformationen auf der gleichen Website aus. Jeder Bot versucht aber nur einen einzigen Login pro Seite und wechselt danach zur nächsten um sicherzustellen, dass ein Bot nicht anhand seiner IP-Adresse erkannt und gesperrt wird.
Zur Verbreitung nutzt Sathurbot File-Sharing-Seiten. Getarnt als Torrents für kostenlose Filme und Software laden Nutzer die Malware so auf ihren Rechner. Sobald ein Nutzer die Datei ausführt, kapert der Trojaner den Rechner und stellt eine Verbindung zu einem Command and Control (C&C)-Server her, sodass der Computer in das Botnet integriert wird.
Wer sich mit der Malware infiziert hat, kann mittels Dateimanager eines Drittanbieters die bösartige .DLL entlarven, mit dem Taskmanager explorer.exe und/oder rundll32.exe terminieren und die betreffende .DLL löschen. Nach einem Neustart sollte die Malware nicht mehr auf dem Rechner zu finden sein. Um einer Infektion vorzubeugen, sollten Nutzer keine Dateien ausführen, deren Ursprung nicht bekannt ist. Ausserdem, so
Eset, sollten Nutzer keine Software von File-Sharing-Seiten beziehen. Die vollständige technische Analyse von Sathurbot findet sich
hier.
(swe)